2025년 12월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2025년 12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 74%로 가장 높은 비중을 차지했고, Backdoor가 10%로 그 뒤를 따랐다.

 

[ 그림 1] 2025년 12 월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2025년 12월(12월 1일 ~ 12월 31일) 한 달간 등장한 악성코드를 조사한 결과, 중국 해커 그룹 Mustang Panda가 새로운 악성 드라이버 파일을 사용해 Toneshell 백도어를 유포하는 정황이 발견됐다. 또한, CyberVolk 랜섬웨어 그룹이 새로운 랜섬웨어 서비스인 VolkLocker를 출시했으며 ISO 파일을 마운트하는 방식으로 실행되는 Phantom Stealer가 등장했다. 이 외에도 MacOS 시스템에서 정상 앱으로 위장해 유포되는 MacSync Stealer와 Android 기기를 대상으로 화면을 잠그고 랜섬머니를 요구하는 모바일 랜섬웨어 DroidLock의 소식이 전해졌다.

 

Toneshell - Backdoor

최근 중국의 해커 그룹 Mustang Panda가 전용 백도어 악성코드인 Toneshell을 유포하는 과정에서 악성 드라이버 파일을 사용하는 새로운 방식을 도입한 정황이 발견됐다. 해당 드라이버 파일은 중국 기업의 유출된 디지털 인증서로 서명됐으며 같은 인증서로 서명된 악성코드가 여럿 발견되기도 했다. 드라이버 파일이 실행되면 .data 섹션에 저장된 셸 코드를 로드하고 svchost.exe 프로세스에 Toneshell 페이로드를 인젝션해 실행한다. 또한 레지스트리 콜백 루틴을 조작해 특정 키의 레지스트리를 보호하고 보안 프로그램과 같은 프로세스가 접근하는 것을 차단한다. Kaspersky 측은 이번 공격이 커널 모드 로더를 이용한 Toneshell 배포의 첫 사례로 보안 도구로부터 회피할 수 있어 주의가 필요하다고 전했다.

 

VolkLocker - Ransomware

12월 초, 랜섬웨어 그룹 CyberVolk가 VolkLocker라는 새로운 서비스를 판매하기 시작했다. 해당 서비스의 사용자가 비트코인 지갑 주소, 텔레그램 봇 토큰 및 파일 확장자 등의 옵션을 제공하면 맞춤형 랜섬웨어를 빌드해 제공한다. 제공된 랜섬웨어는 AES-256 알고리즘으로 파일을 암호화한 후 파일명에 사용자가 설정한 확장자를 추가하며 알려진 가상환경 이름과 MAC 주소 접두사 등을 비교해 분석을 회피하는 기능도 포함하고 있다. SentinelOne 측의 샘플 분석 결과에 따르면 랜섬웨어가 사용하는 마스터키가 임시 폴더에 평문 파일로 기록된다는 취약점이 존재한다고 전했다.

 

Phantom Stealer - InfoStealer

12월 중순에는 러시아 금융 및 회계 분야를 대상으로 Phantom Stealer 악성코드를 유포하는 Operation MoneyMount-ISO 캠페인이 발견됐다. 공격자는 은행 송금 확인 등의 내용을 이용해 피싱 이메일을 전송하고 첨부된 ZIP 파일을 다운로드 하도록 유도했다. ZIP 파일에 포함된 ISO 파일을 더블 클릭하면 가상 드라이브에 마운트되고 드라이브 내에서 위장 실행 파일이 실행되면 함께 포함된 DLL을 로드해 페이로드를 복호화 및 인젝션한다. 인젝션된 페이로드는 분석 환경을 탐지해 회피하고 웹 브라우저 저장 정보, 암호화폐 지갑 및 디스코드 인증 토큰 등을 수집해 공격자의 텔레그램 봇으로 전송한다. 이에 따라 보안업체 Seqrite는 ISO와 같은 컨테이너 형식의 첨부 파일에 대한 필터링을 강화하고 이메일 보안 워크플로우를 점검할 것을 권고했다.

 

MacSync Stealer - MacOS

기존 MacOS를 대상으로 악성코드를 유포하는 공격에서는 드래그 투 터미널이나 ClickFix와 같은 트릭을 주로 사용해 왔으나 이와 같은 방식을 사용하지 않고 정상 앱으로 위장해 유포되는 MacSync Stealer가 발견됐다. 발견된 샘플은 서명 및 공증돼 있으며 정크 데이터로 채워진 PDF로 파일 크기를 부풀려 전문적인 앱처럼 보이도록 위장했다. 해당 파일을 실행하면 백그라운드에서 숨겨진 스크립트를 실행해 Mac에 저장된 모든 비밀번호를 저장하는 마스터 파일에서 정보를 수집하고 1시간마다 간헐적으로 실행하는 잠복 매커니즘을 이용해 탐지를 회피한다. 소프트웨어 업체 Jamf의 보안 연구원은 공격에 사용된 디지털 인증서가 현재는 취소됐으며 서명된 앱이라도 안전을 보장할 수 없다고 전했다.

 

DroidLock - Andriod

12월 말, 안드로이드 기기를 대상으로 하는 모바일 랜섬웨어 DroidLock이 등장했다. DroidLock은 정상 앱처럼 홍보하는 피싱 사이트를 이용해 유포되며 앱을 다운로드 및 설치하면 먼저 접근성 서비스에 대한 접근 권한을 요청한다. 접근성 서비스 권한이 허용되면 앱은 이를 이용해 악성 동작에 필요한 추가 권한을 자동으로 획득한 후 공격자가 운영하는 C&C 서버와 통신을 시도한다. DroidLock은 C&C 서버로부터 오버레이 공격에 필요한 정보를 수신해 패턴 해제 화면을 표시하고 사용자가 패턴을 입력하면 앱은 잠금 패턴을 변경해 사용자의 기기를 잠가 랜섬머니를 요구한다. 또한 화면 녹화 기능을 악용해 PIN 또는 OTP 번호를 수집하고 2차 피해를 발생시킬 수 있어 주의가 필요하다.