북한 해커 그룹인 코니(Konni)가 구글의 파인드 허브(Find Hub) 자산 추적 기능을 최초로 활용하는 새로운 공격 기법을 발견했습니다. 이 공격은 안드로이드와 윈도우 기기를 모두 표적으로 삼아 데이터를 훔치고 원격으로 제어할 수 있는 권한을 획득합니다.
2025년 9월 초에 감지된 활동을 통해 해당 공격이 Google의 자산 추적 서비스인 Find Hub를 악용하여 개인 데이터의 무단 삭제로 이어질 수 있음이 밝혀졌습니다.
해킹은 Konni가 대상 컴퓨터에 접근하기 위해 스피어피싱 이메일을 보내는 공격 체인으로 시작됩니다. 그런 다음 대상의 로그인된 카카오톡 채팅 앱 세션을 이용하여 ZIP 압축 파일 형태로 악성 페이로드를 대상 연락처로 전송합니다.
Genians 보안 센터(GSC)는 기술 보고서에서 "공격자는 심리 상담사와 북한 인권 활동가를 사칭하여 스트레스 해소 프로그램으로 위장한 악성 코드를 배포했다"고 밝혔습니다.
한국 사이버 보안 그룹, 악성코드는 한국 중심 작전을 위한 것이라고 밝혀
조사관에 따르면, 스피어피싱 이메일은 국세청과 같은 합법적인 기관에서 발송된 것으로 보입니다. 이 수법은 사용자를 속여 Lilith RAT과 같은 원격 액세스 트로이 목마가 포함된 악성 첨부 파일을 열게 하는데, 이 트로이 목마는 감염된 컴퓨터를 제어하고 추가 페이로드를 전송할 수 있습니다.
위협 행위자는 침해된 컴퓨터에 1년 이상 숨어서 웹캠을 통해 감시하고 사용자가 부재 중일 때 시스템을 조작할 수 있습니다. GSC는 "이 과정에서 초기 침입 시 획득한 접근 권한을 통해 시스템 제어 및 추가 정보 수집이 가능하며, 회피 전략을 통해 장기적인 은폐가 가능합니다."라고 밝혔습니다.
해커는 피해자의 Google 및 Naver 계정 정보를 훔칠 수 있습니다. 훔친 Google 비밀번호를 손에 넣은 해커는 이를 사용하여 Google Find Hub에 로그인하고 원격으로 기기를 삭제합니다.
예를 들어, 해커들은 네이버 계정으로 등록된 복구 이메일 계정에 로그인하여 구글 보안 알림 이메일을 삭제했습니다. 또한, 받은 편지함의 휴지통 폴더를 비워 흔적을 감췄습니다.
해커들은 ZIP 파일도 사용하고 있습니다. 이 파일은 "Stress Clear.msi"라는 악성 Microsoft Installer(MSI) 패키지가 포함된 메시징 앱을 통해 유포됩니다. 이 패키지는 중국 회사에 제공된 합법적인 서명을 사용하여 애플리케이션의 외관을 인증합니다. 실행되면 배치 스크립트를 사용하여 기본 설정을 실행합니다.
그런 다음 악성 명령이 백그라운드에서 실행되는 동안 언어 팩 호환성 문제에 대한 가짜 오류 메시지를 표시하는 Visual Basic 스크립트(VBScript)를 실행합니다.
이 맬웨어는 어떤 면에서는 Lilith RAT와 비슷하지만, 확인된 변경 사항으로 인해 EndRAT(보안 연구원 Ovi Liber는 EndClient RAT라고도 함)라는 코드명이 부여되었습니다.
Genians에 따르면 Konni 앱토스(APT) 공격자는 Remcos RAT 버전 7.0.4를 실행하는 데 AutoIt 스크립트를 사용했으며, 이 버전은 2025년 9월 10일 해당 버전 유지 관리 담당 그룹에 의해 공개되었습니다. 현재 해커들은 공격에 최신 버전의 트로이 목마를 사용하고 있습니다. Kimsuky가 2023년에 사용한 또 다른 트로이 목마인 Quasar RAT와 RftRAT도 대상 기기에서 발견되었습니다.
한국의 사이버 보안 회사는 "이것은 해당 악성코드가 한국 중심의 작전에 맞춰져 있으며, 관련 데이터를 확보하고 심층 분석을 수행하려면 상당한 노력이 필요하다는 것을 시사한다"고 밝혔습니다.
북한 지원 해커들의 기세 커져
이번 공격은 북한 정부가 지원하는 Kimsuky와 앱토스(APT) 37 그룹과 관련된 Konni 앱토스(APT) 캠페인의 후속 공격인 것이 확실합니다.
동시에 ENKI는 라자루스 그룹이 컴백커(Comebacker) 악성코드의 업데이트된 버전을 사용하여 특수 제작된 마이크로소프트 워드 문서를 미끼로 방위 및 항공우주 기업을 공격했으며, 이는 첩보 작전의 일환이었다고 밝혔습니다. 이들은 에어버스, 엣지 그룹, 그리고 인도 칸푸르 공과대학교(IITK) 소속이라고 주장하며 사람들을 속였습니다.
한편, 크립토폴리탄의 보도에 따르면, 김지나 외교부 2차관은 한국이 만연한 암호화폐 범죄와 관련해 북한에 대한 제재를 고려하고 있으며, 미국과의 협력이 매우 중요하다고 밝혔습니다.
