2025년 10월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 52%로 가장 높은 비중을 차지했고, Virus가 18%로 그 뒤를 따랐다.

 

[ 그림 1] 2025년  10월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 10월(10월 1일 ~ 10월 31일) 한 달간 등장한 악성코드를 조사한 결과, Microsoft Excel의 사용자 지정 기능을 확장하는데 사용되는 XLL 파일을 악용해 유포 중인 CABINETRAT이 발견됐다. 또한, 합법적인 Discord 봇 서비스를 C&C로 활용하는 봇넷 ChaosBot이 등장했으며, 해커 그룹 Ignoble Scorpius가 BlackSuit 랜섬웨어를 유포하는 스피어 피싱 캠페인이 확인됐다. 이 외에도 Steam 인기 게임 및 VPN 설치 파일로 위장해 유포되는 정보탈취형 악성코드 Stealit과 생성형 AI를 악용해 노인을 대상으로 유포 중인 안드로이드 뱅킹 트로이목마 Datzbro의 소식이 전해졌다.

 

CABINETRAT - Backdoor

10월 초, 우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 해커 그룹 UAC-0245가 XLL파일을 이용해 유포하는 백도어 CABINETRAT를 발견했다. XLL파일은 PE 포맷을 가진 Microsoft Excel의 사용자 지정 기능을 확장하는데 사용되는 Add-In 소프트웨어로, MS Excel의 추가 기능 관리자에서 xlAutoOpen 함수를 사용해 해당 파일을 실행할 수 있다는 점이 공격에 악용됐다. 공격자는 Signal 메시지 앱을 이용해 국가 안보와 관련된 내용으로 악성 XLL 파일이 포함된 ZIP 아카이브를 배포하고 피해자가 다운로드 후 실행하도록 유도한다. 해당 XLL 파일을 실행되면 함께 배포된 PNG 파일에서 CABINETRAT 백도어에 해당하는 쉘코드를 추출하고 로드한다. CABINETRAT은 TCP 연결을 이용해 공격자가 운영하는 C&C 서버와 통신하며 정보 수집, 파일 삭제 및 명령어 실행 등의 악성 동작을 수행한다.

 

ChaosBot - Botnet

합법적인 Discord 봇 서비스를 C&C 서버로 활용하는 봇넷 악성코드 ChaosBot이 발견됐다. 공격자는 악성 명령어를 실행하도록 설정된 LNK 파일을 정상 문서로 위장해 피해자가 다운로드 후 실행하도록 유도한다. 실행된 명령어는 ZIP 파일을 다운로드하고 내부에 포함된 합법적인 MS Edge 구성 파일 identity_helper.exe 에 ChaosBot 페이로드를 DLL-Sideloading해 실행한다. ChaosBot은 Discord API를 사용해 피해자 PC의 이름과 동일한 채널을 생성한 후, 해당 채널로 전달된 원격 명령어 실행, 스크린샷 캡쳐, 파일 다운로드 및 업로드 등의 명령을 수행하고 그 결과를 전송한다. 보안 업체 eSentire 측은 해당 악성코드가 Discord를 C&C 서버로 활용해 정상 네트워크 트래픽과 구분이 어려워 주의가 필요하다고 언급했다.

 

BlackSuit - Ransomware

10월 중순, 해커 그룹 Ignoble Scorpius가 공격 대상 기업 내부 직원의 VPN 자격증명을 도난해 데이터를 탈취하고 BlackSuit 랜섬웨어를 유포하는 스피어 피싱 캠페인이 확인됐다. 공격자들은IT 헬프 데스크 직원을 사칭해 피해자에게 접근하고 가짜 웹사이트로 유도해 VPN 로그인 정보를 입력하게 한 뒤 도난당한 자격증명으로 네트워크 내부에 침투했다. 침투 후 원격 데스크톱과 SMB프로토콜을 이용해 측면 이동을 수행했으며 도메인 컨트롤러에 AnyDesk와 원격 접근 트로이목마를 설치하고 예약 작업을 생성해 장기적 접근성과 지속성을 확보했다. 확보한 접근 권한을 바탕으로 내부 데이터를 탈취하고 BlackSuit 랜섬웨어를 실행해 수백 대의 가상 머신을 암호화했다. 보안 업체 Unit42는 강력한 인증을 포함한 계층적 방어 체계를 구축하고 원격 접근 자격증명 관리 및 모니터링을 강화해 조직 내에서 공격 확산을 차단할 것을 권고했다.

 

Datzbro - Andriod

생성형 AI를 악용해 노인을 대상으로 유포되는 뱅킹 트로이목마 Datzbro가 발견됐다. 공격자들은 페이스북에서 시니어 여행, 사교 활동 및 행사 참여 등을 홍보하는 가짜 이벤트 페이지와 그룹을 생성하고 AI로 생성한 콘텐츠를 악용해 실제 시니어 커뮤니티처럼 위장했다. 피해자가 이벤트에 관심을 보이거나 참여 의사를 밝히면 공격자들은 메신저로 악성 링크를 전달해 악성코드 설치를 유도한다. 실행된 Datzbro는 원격 화면 공유 및 제어 기능을 수행하며 블랙스크린 오버레이를 활성화해 악성 행위를 은폐한다. 또한 Alipay, WeChat 및 은행 앱 등 결제 관련 앱의 접근성 이벤트를 모니터링하고 키로깅을 수행해 로그인 자격 증명과 PIN, 암호 등을 탈취한다. 보안 업체 ThreatFabric 측은 이러한 캠페인이 노년층 등 디지털 취약 계층을 주요 표적으로 삼고 있어 해당 계층의 보안 인식 제고와 교육이 필요하다고 언급했다.

 

Stealit - InfoStealer

Steam의 인기 게임 및 VPN 애플리케이션의 설치 프로그램으로 위장해 Windows 사용자를 대상으로 정보탈취형 악성코드 Stealit을 유포하는 캠페인이 발견됐다. 공격자들은 Node.js의 SEA(Single Executable Application) 기능을 악용해 악성코드를 런타임이나 추가 종속성이 필요 없는 단일 실행파일로 패키징하고 Mediafire와 Discord 등에 업로드해 유포했다. 실행된 악성코드는 VBS 스크립트를 사용해 지속성을 확보한 뒤 다계층으로 난독화된 Node.js 스크립트를 순차적으로 실행한다. 그리고 디버거, 가상환경 및 분석 도구를 탐지해 정상 환경으로 판단될 때에만 공격자가 운영하는 C&C 서버와 통신하며 악성 행위를 수행한다. Stealit은 브라우저 자격증명과 암호화폐 지갑 정보를 탈취하고 실시간 화면 스트리밍, 웹캠 접근, 원격 명령 실행 및 파일 수집 등의 기능을 제공한다. 보안 업체 FortiGuard Labs는 소프트웨어 다운로드 시 공식 사이트를 이용할 것을 권고했다.