2026년 04월 악성코드 동향 보고서

1. 악성코드 통계

악성코드 유형별 비율

2026년 4월(4월 1일 ~ 4월 30일) 한 달간 잉카인터넷 시큐리티대응센터는 국내외에서 수집된 악성코드 현황을 조사하였으며, 유형별로 비교하였을 때 Trojan이 55%로 가장 높은 비중을 차지했고, Virus가 12%로 그 뒤를 따랐다.

 

[그림 1] 2026년 4월 악성코드 유형별 비율

 

 

2. 악성코드 동향

2026년 4월(4월 1일 ~ 4월 30일) 한 달간 등장한 악성코드를 조사한 결과, 중국 해킹 그룹 Silver Fox가 타이포스쿼팅을 이용해 유포한 AtlasCross RAT이 등장했다. 또한, Claude Code 유출 이슈를 악용해 깃허브에서 유포되는 Vidal Stealer와 앱스토어 및 플레이 스토어에서 발견된 새로운 버전의 SparkCat 악성앱 소식이 전해졌다. 이 외에도 베네수엘라 기업을 대상으로 SVG 파일을 이용해 유포된 BianLian 랜섬웨어와 Claude AI를 사칭한 피싱 사이트에서 유포된 PlugX RAT, 옵시디언 노트 애플리케이션을 악용한 PHANTOMPULSE 악성코드가 발견됐다.

 

AtlasCross RAT - RAT

보안 업체 HexaStrike는 중국 해킹 그룹 Silver Fox가 타이포스쿼팅을 이용해 새로운 악성코드 AtlasCross RAT을 유포하는 캠페인을 발견했다. 공격자는 실제 서비스와 비슷한 이름의 가짜 웹사이트를 제작해 사용자의 접속을 유도하고 ZIP 아카이브를 다운로드하도록 한다. ZIP 아카이브 내에 포함된 설치 프로그램을 실행하면 내장된 Gh0st RAT을 로드하며 공격자의 C&C 서버에서 AtlasCross RAT 페이로드를 다운로드한다. 해당 악성코드는 PowerChell이라는 C/C++ 기반 PowerShell 실행 엔진을 내장하고 있어 .NET CLR을 직접 호스팅하고 AMSI를 비활성화한다. 이에 대해 HexaStrike 측은 AtlasCross RAT이 PowerChell 프레임워크와 포괄적인 보안 우회 체인 등을 추가해 기존 도구보다 업그레이드된 기능을 제공한다고 전했다.

 

Vidal Stealer - Infostealer

보안 업체 Zscaler는 Claude Code 유출 이슈를 악용해 깃허브에 Vidar Stealer를 유포하는 캠페인을 발견했다. 공격자는 "Claude Code leak"이라는 깃허브 저장소에 7-ZIP 파일을 업로드하고 유출된 Claude Code 기능과 토큰 무제한 사용이라는 내용으로 사용자에게 설치를 유도한다. 사용자가 파일을 다운로드해 Rust 기반의 "ClaudeCode_x64.exe"를 실행하면 정보 탈취 악성코드인 Vidar Stealer와 프록시 도구 GhostSocks가 함께 설치된다. 이후 Vidar Stealer는 비밀번호와 암호화폐 지갑 데이터 등을 탈취하며 GhostSocks는 네트워크 트래픽을 중계해 공격자의 C&C 서버와 통신한다. Zscaler 측은 공개 이슈를 악용한 GitHub 유포가 증가하고 있어 주의가 필요하며 코드 유출로 발생할 수 있는 위험에 대비해 제로 트러스트 기반 접근 통제를 적용할 것을 권고했다.

 

SparkCat - Mobile

보안 업체 Kaspersky는 앱스토어와 플레이 스토어에서 새로운 버전의 SparkCat 악성앱이 유포되는 정황을 발견했다. 안드로이드 버전의 SparkCat은 기존보다 더 많은 계층의 난독화를 적용하고 코드 가상화 및 크로스 플랫폼 언어를 사용해 분석을 어렵게 만든다. 또한, 한국어, 중국어 및 일본어가 포함된 스크린샷을 검색하는 것으로 보아 주로 아시아 사용자를 겨냥한 것으로 평가된다. 반면, iOS 버전의 SparkCat은 영어로 된 암호화폐 지갑 구절을 검색하는 방식을 사용해 지역에 상관없이 데이터를 탈취할 수 있다. Kaspersky 측은 최근 악성코드의 개선 사항이 지속적으로 진화하는 위험을 보여준다고 강조했다.

 

BianLian - Ransomware

보안 업체 WatchGuard는 베네수엘라 기업을 대상으로 SVG 파일을 이용해 BianLian 랜섬웨어를 유포하는 피싱 캠페인을 발견했다. 공격자는 스페인어로 위장한 SVG 이미지 내에 XML 코드로 외부 URL을 삽입해 사용자가 이미지를 실행하도록 유도한다. XML 코드는 ja.cat의 URL 단축 링크를 이용해 공격자의 C&C 서버 주소로 리디렉션하며 보안 탐지를 우회하고 최종 악성코드 유포 경로를 은닉한다. 최종 페이로드는 Go 기반 Windows 실행 파일로 Wine 플랫폼에서 실행 중인지 확인한 뒤 어셈블리로 작성한 AES-256 알고리즘을 사용해 파일을 빠르게 암호화한다. 이에 대해 WatchGuard 측은 이미지 파일 형태의 첨부파일도 공격에 악용될 수 있으므로 이메일 보안 강화와 의심 URL 및 도메인 모니터링이 필요하다고 권고했다

 

PHANTOMPULSE - RAT

보안 업체 Elastic은 크로스 플랫폼 노트 애플리케이션 옵시디언(Obsidian)을 이용해 유포되는 새로운 RAT 악성코드 PHANTOMPULSE를 발견했다. 공격자는 LinkedIn에서 벤처 캐피털 회사를 사칭해 금융 및 암호화폐 분야의 개인에게 접근하고 텔레그램 그룹 가입을 유도한다. 이후, 옵시디언 자격 증명을 제공해 클라우드 호스팅 볼트(Vault)에 연결하고 공유 대시보드로 접근하도록 지시한다. 사용자가 해당 볼트를 열면 커뮤니티 플러그인 동기화를 활성화하라는 요청을 받게 되며 이때 Shell Commands 및 Hider 플러그인이 악성 코드를 실행한다. 실행된 악성 코드는 PHANTOMPULL이라는 로더를 먼저 드롭 및 실행하고 해당 로더는 메모리에서 PHANTOMPULSE RAT을 복호화해 로드한다. PHANTOMPULSE는 AI를 이용해 작성된 백도어로 하드코딩된 지갑 주소와 연관된 최신 거래를 가져와 이더리움 블록체인 기반의 C2 통신을 구축한다.