2025년 11월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 45%로 가장 높은 비중을 차지했고, Backdoor가 15%로 그 뒤를 따랐다.

 

[그림 1] 2025년 11월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 11월(11월 1일 ~ 11월 30일) 한 달간 등장한 악성코드를 조사한 결과, 북한 해커 그룹 Kimsuky가 VPN 견적서로 위장한 피싱 메일을 사용해 유포하는 HttpTroy 백도어가 발견됐다. 또한, 암호화폐 지갑 사용자를 공격 대상으로 삼아 유포되는 정보 탈취 악성코드 LeakyStealer와 해커 그룹 ShinyHunters와 Scattered Spider이 연합으로 만든 ShinySp1d3r 랜섬웨어가 등장했다. 이 외에도 중남부 유럽 지역의 금융 기관을 대상으로 유포되는 안드로이드 뱅커 앱 Sturnus와 이더리움 블록체인의 스마트 계약을 악용하는 Node.js 기반 봇넷 Tsundere 공격 소식이 전해졌다.

HttpTroy - BackDoor

북한 해커 그룹 Kimsuky가 VPN 견적서로 위장한 피싱 메일을 사용해 유포하는 HttpTroy 백도어가 발견됐다. 피싱 메일에 첨부된 ZIP 아카이브 내에는 SCR 파일이 포함돼 있으며 이를 실행하면 Go 언어로 작성된 바이너리가 XOR 키로 암호화된 3개의 파일을 복호화한다. 복호화된 파일에는 미끼 PDF와 MemLoad 및 암호화된 HttpTroy가 포함되며 MemLoad는 한국 보안 업체 이름을 사칭한 "AhnlabUpdate"라는 예약 작업을 등록해 피해자 시스템에 지속성을 획득한다. MemLoad는 RC4 알고리즘으로 HttpTroy를 복호화하고 메모리에 로드한 뒤 "hello" 내보내기 함수를 호출해 실행하며 HttpTroy 백도어는 공격자가 운영하는 C&C 서버와 통신한다. HttpTroy는 파일 업로드/다운로드와 스크린샷 캡처 및 관리자 권한 명령 실행 등의 기능을 수행하고 API 호출을 해싱 기법으로 은닉하며 문자열은 XOR 연산과 SIMD 명령어로 난독화해 분석 및 탐지를 우회한다.

 

LeakyStealer - InfoStealer

11월 중순, 정보 탈취 악성코드 LeakyStealer와 이를 인젝션으로 실행하는 LeakyInjector가 암호화폐 지갑 사용자를 대상으로 유포됐다. LeakyInjector는 윈도우 API를 사용해 Explorer.exe를 대상으로 프로세스 인젝션해 실행하고 Chacha20 알고리즘으로 암호화된 LeakyStealer를 복호화한다. 두 악성코드는 중국 업체 "Hefei Nudan Jukuang Network Technology Co., Ltd."에 발급된 유효한 EV 인증서로 서명돼 탐지를 우회하며 레지스트리 키를 생성해 지속성을 획득한다. LeakyStealer는 Electrum과 MetaMask 및 Coinbase Wallet 등의 암호화폐 지갑 데이터와 크롬과 엣지 및 브레이브 등의 웹 브라우저 로그인 정보 및 접속 기록을 수집해 공격자가 운영하는 C&C 서버로 전송한다. 실행할 때마다 코드 형태를 바꾸는 다형성 엔진으로 탐지를 우회하고 C 드라이브 볼륨 일련번호를 XOR 연산해 Bot ID를 생성하며 백도어 명령어를 사용해 추가 악성 동작을 수행한다.

 

ShinySp1d3r - Ransomware

외신은 해커 그룹 ShinyHunters와 Scattered Spider 연합이 운영하는 ShinySp1d3r 랜섬웨어를 발견했다. 해당 랜섬웨어는 EtwEventWrite 함수를 후킹해 윈도우 이벤트 뷰어의 데이터 기록을 방지하고 파일을 열고 있는 프로세스를 종료해 암호화를 가능하게 한다. 임시파일을 생성해 드라이브의 여유 공간을 없애고 삭제된 파일 복구를 어렵게 만들며 시스템의 가용 메모리를 확인해 데이터 읽기량을 계산한다. SCM과 WMI 및 GPO를 사용해 로컬 네트워크의 다른 장치로 전파되며 볼륨 섀도 복사본을 삭제해 시스템 복원을 무력화한 뒤 공유 폴더까지 검색해 암호화한다. 파일 암호화에 ChaCha20과 RSA-2048 알고리즘을 사용하고 암호화된 파일에는 파일명과 암호화된 개인키 등의 정보를 포함한 "SPDR"로 시작해 "ENDS"로 끝나는 헤더가 추가된다. 블리핑컴퓨터 측은 LockBit과 Babuk에서 유출된 코드가 활용됐고 윈도우 버전만 확인했지만 해커 그룹이 CLI 환경의 빌드도 완료해 Linux와 ESXi 버전도 공개할 예정이라고 전했다.

 

Tsundere - Botnet

이더리움 블록체인의 스마트 계약을 악용하는 Node.js 기반 봇넷 Tsundere가 윈도우 사용자를 대상으로 유포됐다. 공격자는 발로란트와 레인보우 식스 시즈 및 카운터 스트라이크 2 등 인기 게임으로 위장한 MSI 설치 파일이나 파워쉘 스크립트를 사용해 악성코드를 배포한다. 가짜 MSI 설치 파일은 Node.js 환경을 구축하고 로더 스크립트를 실행해 봇넷 페이로드를 복호화 및 실행하며 NPM 패키지를 설치한다. 설치된 패키지 중 pm2는 봇을 활성 상태로 유지하고 레지스트리에 등록해 로그인 시 프로세스가 자동 실행되도록 구성하며 봇은 이더리움 스마트 계약을 조회해 공격자가 운영하는 C&C 서버 주소를 조회한다. 카스퍼스키 측은 해당 봇넷이 러시아 해커 그룹 koneko가 운영하는 것으로 추정하며 마켓플레이스와 통합된 관리 패널을 사용해 봇을 생성하고 서비스를 제공하는 비즈니스 모델을 운영 중이라고 밝혔다. 그리고 블록체인을 악용한 C&C 인프라 은닉 기법이 증가하고 있고 공격자가 123 Stealer와 같은 다른 위협을 유포하는 데에도 관여하고 있어 위협적이라고 경고한다.

 

Sturnus - Andriod

11월 말, 중남부 유럽 지역의 금융 기관을 대상으로 자격 증명 탈취와 금융 사기 공격을 수행하는 안드로이드 뱅커 앱 Sturnus가 발견됐다. Sturnus가 실행되면 공격자가 운영하는 C&C 서버와 통신해 장치를 등록하고 암호화된 페이로드를 수신해 복호화 및 실행한다. 복호화된 페이로드는 은행 앱의 실행을 감지하면 오버레이 공격을 이용해 가짜 로그인 화면을 띄우고 키 입력을 캡처해 자격 증명을 수집한 후 오버레이를 비활성화한다. 또한 시그널과 텔레그램 및 왓츠앱 메신저 내용을 모니터링하고 인터페이스 정보 수집 및 클릭/스크롤 등의 원격 제어를 수행한다. 사용가 관리자 권한 해제 설정 화면으로 이동하면 이를 감지해 설정 페이지 화면을 종료하고 앱 삭제나 ADB(Android Debug Bridge) 명령을 사용한 제거를 차단한다.