2025년 04월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 대응팀은 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 “Trojan”이 58%로 가장 높은 비중을 차지했고, “Virus”가 12%로 그 뒤를 따랐다.

 

[그림  1] 2025년  4월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 4월(4월 1일 ~ 4월 30일) 한 달간 등장한 악성코드를 조사한 결과, 국내 안드로이드 사용자를 공격하는 "SoumniBot" 악성코드가 등장했다. 또한, 피싱 메일을 통해 유포되는 "TROX Stealer" 악성코드와 "Fog" 랜섬웨어 변종이 발견됐다. 이 외에도 사이버 범죄 포럼 등 다양한 플랫폼에서 판매되는 "Neptune RAT" 악성코드의 변종의 발견 소식이 전해졌다.

 

Neptune RAT – RAT

4월 초, 보안 업체 Cyfirma는 사이버 범죄 포럼 등 다양한 플랫폼에서 판매되는 "Neptune RAT" 악성코드의 새로운 변종을 발견했다. 해당 변종은 PowerShell 명령을 직접 생성하고, API를 통해 악성 스크립트와 파일을 원격에서 로드하며 난독화와 흐름 제어 회피 기법도 사용한다고 전했다. 또한, Windows 레지스트리 수정, 작업 스케줄러 등록 등 다양한 방식으로 지속성을 확보하며, 시스템 복구를 방해하거나 데이터 삭제까지 수행할 수 있다고 덧붙였다. 이 외에도 총 270개 이상의 애플리케이션에서 비밀번호를 탈취하며, 키로깅과 파일 탐색 및 실시간 화면 모니터링 등의 정교한 감시 기능도 포함되어 있다고 언급했다. 이에 대해 Cyfirma 측은 공개된 무료 버전 외에도, 더욱 강력한 기능이 포함된 유료 버전이 존재할 가능성이 있다고 추정했다.

 

TROX Stealer – InfoStealer

4월 중순, 부채나 법적 조치 관련 내용으로 위장한 피싱 메일을 이용해 "TROX Stealer" 악성코드를 유포하는 캠페인이 발견됐다. 공격자는 법적 문서를 확인하라는 내용으로 사용자가 접속하도록 유도하며, 메일 본문에 포함된 링크를 클릭하면 악성 파일을 유포하는 웹 사이트로 리다이렉션한다. 이때, 해당 링크는 이메일마다 고유한 토큰을 포함하고 있어 악성 파일을 한 번만 다운로드 가능하도록 설정되어 있으며, 재다운로드가 불가해 분석을 어렵게 한다. 이에 대해 보안 업체 Sublime Security 측은 "TROX Stealer"가 여러 단계의 난독화와 Python, Node.js 및 WebAssembly 기반의 다단계 실행 체인을 사용해 탐지를 회피한다고 전했다. 또한, 해당 악성코드는 신용 카드와 암호화폐 지갑 및 브라우저 자격 증명 등의 민감 정보를 탈취한다고 덧붙였다.

 

SoumniBot – Android

보안 업체 Kaspersky에서 국내 안드로이드 사용자를 공격하는 "SoumniBot" 악성코드를 발견했다. 해당 악성코드는 매니페스트 변조와 파일 구조의 비정상적인 난독화 등의 방법으로 탐지를 피하고 분석을 어렵게 한다고 설명했다. 한편, 악성코드는 결혼식 스트리밍 영상을 볼 수 있다는 모바일 청첩장 링크로 위장해 사용자들에게 유포된 것으로 알려졌다. 사용자가 링크에 접속해 앱을 다운로드하면, 아이콘은 숨기고 15초마다 기기에서 수집한 데이터를 공격자의 서버로 전송하는 등의 공격을 한다고 전해졌다. 이에 대해 Kaspersky 측은 "SoumniBot"이 여전히 개발 중이며, 정교화될 가능성이 높다고 경고했다.

  

Fog – Ransomware

4월 말, 보안 업체 Trend Micro는 미국 정부 기관인 정부효율부(DOGE)를 사칭해 "Fog" 랜섬웨어를 유포한 캠페인을 발견했다. 이번 캠페인은 공격자가 발송한 피싱 메일의 첨부 파일에서 시작되며, 해당 파일은 PDF 문서로 위장한 악성 LNK 파일을 포함한다. 사용자가 파일을 실행하면, 난독화된 PowerShell 스크립트가 동작하면서 랜섬웨어 페이로드를 다운로드하고 실행한다. Trend Micro 측은 스크립트에는 정치적 논평이 포함돼 있으며, 공격 과정에서 정치적 주제의 YouTube 영상이 열리는 특징이 있다고 설명했다. 또한, 실행 환경의 프로세스 수와 메모리 크기 및 MAC 주소 등을 확인해 샌드박스를 탐지하는 기능이 있다고 언급했다. 이 외에도 이전 버전과 마찬가지로 암호화 이벤트를 기록하는 "dbgLog.sys" 파일과 "readme.txt" 이름의 랜섬노트를 사용한다고 덧붙였다.