2025년 07월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 62%로 가장 높은 비중을 차지했고, Virus와 Ransom이 10%로 그 뒤를 따랐다.

 

[그림  1] 2025년  7월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 7월(7월 1일 ~ 7월 31일) 한 달간 등장한 악성코드를 조사한 결과, DragonForce 랜섬웨어의 변종인 DevMan이 등장했다. 또한, 러시아의 여러 업체를 공격한 Batavia 스파이웨어와 이란 해킹 그룹인 MuddyWater가 사용하는 DchSpy 악성코드가 발견됐다. 이 외에도 스팀 게임 중 Chemia 게임에 포함된 Hijack Loader와 베트남 정부와 금융 기관 앱으로 위장해 유포되는 RedHook 악성코드 소식이 전해졌다.

 

DevMan - Ransomware

7월 초, 랜섬웨어 DragaonForce의 새로운 변종인 DevMan 랜섬웨어가 발견됐다. 보안 업체 ANY.RUN은 DevMan의 코드 형태가 DragonFore 랜섬웨어와 유사하며 랜섬노트의 내용은 동일하다고 밝혔다. 또한, 해당 랜섬웨어는 파일의 전체 암호화와 헤더 암호화 등의 암호화 모드를 지원하며 자신이 생성한 랜섬노트도 암호화를 진행한다. 그리고 SMB 폴더 연결과 로컬 네트워크 주소 범위가 하드 코딩돼 있어 내부 네트워크 전파를 시도한다고 전했다. 이 외에도 윈도우 공유 폴더에 접근해 암호화를 시도하고 윈도우 재시작 관리자로 사용 중인 파일을 암호화한다. ANY.RUN은 랜섬노트까지도 암호화하는 모습을 보아 DevMan 랜섬웨어는 테스트 단계로 추측하며 윈도우 재시작 관리자로 지속성을 확보하는 모습이 Conti 랜섬웨어와도 유사해 연관이 있을 것으로 추정했다.

 

Batavia - Spyware

보안 업체 Kaspersky에서 러시아의 여러 업체를 대상으로 Batavia 스파이웨어를 유포하는 피싱 캠페인을 발견했다. 공격자는 계약서 관련 내용으로 작성한 피싱 메일로 악성 VBS 파일의 다운로드 링크를 첨부해 사용자에게 첨부파일 실행을 유도한다. 사용자가 파일을 실행하면 내부의 시스템 정보 수집과 Delphi로 제작된 2차 페이로드를 공격자의 C&C 서버로부터 다운로드한다. 2차 페이로드는 가짜 계약서 문서 파일을 실행하며 사용자를 속이고 주기적으로 시스템 로그와 문서 파일 및 스크린샷을 캡처해 공격자에게 전송한 뒤 3차 페이로드를 다운로드 및 실행한다. 이후, 이미지와 압축 파일 등을 탈취하고 C&C 서버 주소 재설정 및 추가 페이로드 실행 등을 수행한다. 이를 분석한 Kaspersky는 피싱 메일과 의심스러운 첨부 파일을 인지하고 대응할 수 있도록 보안 인식 훈련이 필요하다고 언급했다.

 

DchSpy - Android

모바일 보안 업체 LookOut은 이란 해킹 그룹 MuddyWater의 새로운 캠페인 활동인 VPN 앱으로 위장한 DchSpy 악성코드를 발견했다. 공격자는 중동, 아시아, 유럽 및 북미 등의 다양한 국가의 정부와 민간 업체를 대상으로 유포하며 정상적인 VPN 기능으로 위장해 DchSpy 악성코드를 광고한다고 전했다. 해당 악성코드를 실행하면 사용자 기기에서 계정, 연락처 및 SMS 메시지 등의 데이터를 수집한다. 또한, 기기의 위치와 카메라 촬영 및 왓츠앱 메신저의 데이터도 수집해 공격자가 운영하는 C&C 서버로 전송한다고 언급했다. 이에 대해 LookOut 측은 DchSpy 악성코드가 SandStrike로 알려진 악성 안드로이드 앱과 유사하며 이란과 이스라엘 전쟁과 관련해 악성코드 캠페인도 점차 많이 발견되고 있어 주의가 필요하다고 전했다.

 

Hijack Loader - Loader

7월 말, 해킹 그룹 EncryptHub가 Steam에서 호스팅 중인 Chemia 파일 내에 로더 악성코드인 Hijack Loader를 삽입해 유포한 정황이 발견됐다. 보안 업체 Prodaft는 공격자가 게임 파일 내에 악성코드를 어떻게 추가했는지는 불분명하지만 사용자는 정상적인 게임 파일로 인지해 다운로드할 수 있다고 설명했다. 게임 내에 삽입된 Hijack Loader는 공격자의 텔레그램 주소에서 정보 탈취 악성코드인 Vidar를 다운로드 및 실행한다. 이후, PowerShell 스크립트를 사용해 추가 악성코드인 Fickle Stealer를 다운로드하고 웹 브라우저에 저장된 자격 증명, 쿠키 값 및 암호화폐 지갑 정보 등을 탈취한다고 전했다. 이에 대해 외신에서는 정식 출시가 아닌 사전 공개나 개발 중인 게임을 다운로드 할 때 주의가 필요하다고 언급했다.

 

RedHook - Android

보안 업체 CRIL은 베트남 정부와 금융 기관 앱으로 위장해 유포되고 있는 안드로이드 뱅킹 악성코드 RedHook을 발견했다. 공격자는 금융 기관을 모방한 피싱 웹사이트를 이용해 사용자가 뱅킹 앱처럼 보이는 악성 APK를 다운로드 후 설치하도록 유도한다. 실행된 악성 APK 파일은 사용자에게 로그인 정보 입력하도록 요구하고 접근성 서비스와 미디어 파일 접근 권한을 요청해 사용자 기기를 제어한다. 이후 뱅킹 앱 관련 화면을 표시해 사용자에게 계좌번호 및 비밀번호 등의 입력을 요구하며 공격자가 운영하는 C&C 서버로 전송한다. 또한, 공격자의 C&C 서버와 통신하며 기기 정보, SMS 메시지 및 연락처 탈취 등의 명령을 수행한다. 이에 대해 CRIL 측은 신뢰할 수 있는 사이트에서만 앱을 다운로드하고 2단계 인증을 활성화해 보안을 강화할 필요가 있다고 권고했다.