"Kimsuky Espionage Campaign Targets South Korean Diplomats via GitHub and Dropbox"

🕵️‍♂️ 북한 연계 해킹 그룹 Kimsuky, 외교관 노린 스피어 피싱 공격

최근 보안 업계에서 큰 주목을 받은 사건이 있습니다.
바로 북한 연계 해킹 그룹 Kimsuky(APT43)가 한국 내 외교 공관을 직접 노린 정교한 사이버 스파이 작전이에요.
이 그룹은 이미 오래전부터 외교·안보 분야를 주요 타깃으로 삼아왔지만, 이번 작전은 한층 더 치밀하고 위험했습니다.

---

🎯 공격 개요: 외교 활동을 노린 스피어 피싱

이번 작전은 2025년 3월부터 7월 사이에 진행됐습니다.

• 최소 19건의 스피어 피싱 이메일이 발견되었는데, 이메일 내용은 실제 외교 일정과 놀라울 정도로 유사했습니다.
• 공격자는 마치 실제 외교관이나 신뢰할 수 있는 기관 담당자인 것처럼 위장해, EU 회의 초청장, 미국 독립기념일 행사, 군사 오찬 초대장 등을 보냈습니다.
• 특히 이메일 발송 시점이 실제 외교 행사와 겹치도록 조율해, 수신자가 의심하지 않도록 설계된 점이 인상적입니다.

📌 공격자는 첨부 파일을 직접 보내지 않았습니다.
대신 Dropbox와 Daum 클라우드 서비스에 비밀번호로 잠긴 ZIP 파일을 업로드한 뒤, 그 링크를 이메일로 전달했어요.

---

🐀 XenoRAT: 시스템 장악을 위한 원격 제어 툴

ZIP 파일 안에는 PDF로 위장한 LNK(Windows 바로가기) 파일이 들어 있었습니다.

• 사용자가 이를 열면, 난독화된 PowerShell 스크립트가 실행돼 GitHub에서 악성 페이로드를 내려받습니다.
• 다운로드된 페이로드는 XenoRAT 원격 액세스 트로이 목마(RAT)의 변종이었어요.

XenoRAT이 설치되면 공격자는 다음과 같은 일을 할 수 있었습니다.

• 키보드 입력(키로깅) 기록
• 스크린샷 캡처
• 파일 전송 및 다운로드
• 시스템 정보 수집

결과적으로, 외교관의 컴퓨터가 완전히 감시·조작 가능한 상태가 된 겁니다.

---

🔗 GitHub을 악용한 C2(Command & Control)

이번 캠페인에서 눈에 띄는 부분은 GitHub을 C2 인프라로 활용했다는 점이에요.

• 공격자는 blairity, landjhon 같은 계정을 만들어 비공개 저장소(private repositories)를 운영했습니다.
• 여기에는 onf.txt 같은 지시 파일이 들어 있었는데, 피해자 PC는 이 파일을 읽어 다음 명령을 수행하도록 설계됐습니다.
• 이후 최종 페이로드(XenoRAT)는 Dropbox에서 다운로드되었고, Confuser Core 1.6.0으로 난독화돼 탐지를 회피했습니다.

또한 이 페이로드는 디스크에 파일을 남기지 않고 메모리에서만 실행되도록 설계돼, 흔적을 최소화했습니다.
이는 북한 해킹 그룹이 자주 사용하는 방식으로 잘 알려져 있습니다.

---

🕸️ 다단계 감염 체인

정리하면 공격 체인은 이렇게 흘러갑니다.

1. 📧 외교관에게 스피어 피싱 이메일 발송
2. 🔒 Dropbox/Daum에 업로드된 비밀번호 보호 ZIP 파일 다운로드
3. 📂 LNK 파일 실행 → PowerShell 스크립트 동작
4. 🌐 GitHub에서 추가 페이로드(base64 인코딩) 다운로드
5. 💻 XenoRAT 설치 및 지속성 확보 (작업 스케줄러 등록)
6. 📡 시스템 정보 수집 후 GitHub API로 업로드
7. 🕵️ 공격자 C2 서버에서 지시 받아 정보 탈취 및 감시

---

🌍 북한? 중국? 의심스러운 흔적들

Trellix의 분석에 따르면, 인프라에서 발견된 일부 IP(예: 158.247.230.196)는 기존 Kimsuky 서버와 연결되어 있었습니다.

• 공격자들의 근무 시간대는 월요일~금요일, UTC+08:00 타임존에서 활동이 확인됐습니다.
• 흥미로운 점은 중국의 청명절 같은 공휴일에는 공격 활동이 멈췄다는 거예요.

즉, 공격은 북한 그룹으로 귀속되지만, 실제 활동지는 중국일 가능성도 있다는 것이죠.
이는 중국 내 거점 활용 또는 협력 관계를 시사하는 중요한 단서입니다.

---

🛡️ 방어 인사이트

이번 공격은 MITRE ATT&CK 매트릭스에서 다음과 같은 기법과 연결됩니다.

• T1566.001: 스피어 피싱(첨부 파일 기반)
• T1059.001: PowerShell 실행
• T1567.002: 웹 서비스(GitHub API)를 통한 데이터 유출

Trellix는 자사 보안 제품에서 아래 탐지명을 통해 공격을 식별했습니다.

• LNK/Downloader.ZRD
• XenoRAT/Packed.A

👉 기업과 기관에서 취해야 할 방어 조치는 다음과 같습니다.

1. 이메일 보안 강화: 첨부 ZIP 파일, LNK 실행 차단
2. GitHub 트래픽 모니터링: 비정상적인 API 호출 탐지
3. 행위 기반 탐지: 디스크 없는 메모리 기반 실행 탐지
4. 외교관 및 직원 보안 인식 교육: 행사 초대장 위장 피싱 메일에 주의

---

✨ 정리하며

Kimsuky의 이번 캠페인은 북한 해킹 그룹의 전형적인 기법과 새로운 전술이 결합된 사례입니다.

• 신뢰할 만한 외교 이벤트로 위장한 스피어 피싱
• GitHub과 Dropbox 같은 정상 서비스 악용
• XenoRAT 원격 제어 악성코드 활용
• 중국과 연계된 의심스러운 운영 흔적

이 모든 요소는 국가 주도형 해킹의 진화된 모습을 잘 보여줍니다.

특히 외교 사절단 같은 고위 타깃을 노렸다는 점에서,
단순한 정보 수집을 넘어 외교·정치적 영향력 행사까지 노리고 있다는 분석이 설득력을 얻고 있습니다.

국가 기관은 물론, 기업 환경에서도 “GitHub·Dropbox 같은 SaaS 기반 인프라 악용 공격”에 대비해야 할 때입니다. 🚨