{ "id": "0e77f24a-5bc7-453f-94cc-35035a90e389", "created_at": "2026-04-06T00:13:56.044791Z", "updated_at": "2026-04-10T03:38:20.381227Z", "deleted_at": null, "sha1_hash": "287a22d1ee13a4ac02679ca01da10c205a7b6a3e", "title": "Andariel 그룹의 새로운 공격 활동 분석 - ASEC", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 3941259, "plain_text": "Andariel 그룹의 새로운 공격 활동 분석 - ASEC\r\nBy ATCP\r\nPublished: 2023-08-22 · Archived: 2026-04-05 18:00:50 UTC\r\n목차\r\n1. 과거 공격 사례\r\n…. 1.1. Innorix Agent 악용 사례\r\n…….. 1.1.1. NukeSped 변종 – Volgmer\r\n…….. 1.1.2. Andardoor\r\n…….. 1.1.3. 1th Troy Reverse Shell\r\n…. 1.2. 국내 기업 공격 사례\r\n…….. 1.2.1. TigerRat\r\n…….. 1.2.2. Black RAT\r\n…….. 1.2.3. NukeSped 변종\r\n2. 최근 공격 사례\r\n…. 2.1. Innorix Agent 악용 사례\r\n…….. 2.1.1. Goat RAT\r\n…. 2.2. 국내 기업 공격 사례\r\n…….. 2.2.1. AndarLoader\r\n…….. 2.2.2. DurianBeacon\r\n3. 최근 공격 사례들의 연관성\r\n4. Andariel 그룹의 과거 공격 사례들과의 연관성\r\n5. 결론\r\n주로 국내 기업 및 기관들을 공격 대상으로 하는 Andariel 위협 그룹은 Lazarus 위협 그룹과 협력하는 관계\r\n이거나 혹은 Lazarus 그룹의 하위 조직으로 알려져 있다. 2008년부터 국내 대상 공격이 최초로 확인되었으\r\n며 주요 공격 대상으로는 국방, 정치기구, 조선, 에너지, 통신 등 안보와 관련된 곳이다. 물론 이외에도 대\r\n학교나 운송, ICT 업체 등 국내에 위치한 다양한 기업 및 기관들이 공격 대상이 되고 있다. [1]\r\nAndariel 위협 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격\r\n을 이용하며, 이외에도 악성코드 설치 과정에서 중앙관리 솔루션을 악용하는 사례도 존재한다. [2]\r\nAndariel 그룹의 특징 중 하나라면 다양한 악성코드를 제작해 공격에 사용하는 점인데 특히 과거 공격에\r\n사용된 Andarat, Andaratm, Phandoor, Rifdoor 외에도 수년 전부터 확인되고 있는 TigerRAT [3], MagicRAT\r\n[4] 등 백도어 유형이 많다.\r\nASEC(AhnLab Security Emergengy response Center)에서는 Andariel 위협 그룹의 공격을 지속적으로 모니터\r\n링하고 있으며, 최근 Andariel 그룹의 공격으로 추정되는 공격 사례들이 확인되어 관련 내용들을 블로그에\r\n공개한다. 참고로 해당 공격 사례들에서는 이전 공격에서 확인된 악성코드들이나 C\u0026C 서버가 사용되지\r\n않았기 때문에 직접적인 연관 관계는 존재하지 않는다. 이에 따라 해당 공격들과 Andariel 위협 그룹의 연\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 1 of 20\n\n관성을 확인하기 위해 먼저 2023년 상반기 Andariel 그룹의 공격 사례들을 분석한 후 이를 기반으로 연관\r\n관계를 정리하며, 필요할 경우 이보다 이전 공격 사례에서 확인된 내용들도 포함한다.\r\n2023년에 확인된 공격들의 특징으로는 Go 언어로 개발된 악성코드들이 다수 확인된다는 점이다. 과거\r\nInnorix Agent를 악용한 공격 사례에서는 Go 언어로 개발된 Reverse Shell이 사용되었으며, 이후 국내 기업\r\n들을 대상으로 한 공격에서는 Black RAT이 사용되었다. 이러한 경향은 최근 공격 사례까지 이어져 Goat\r\nRAT, DurianBeacon 등 Go 언어로 개발된 또 다른 악성코드들이 공격에 사용되고 있다. 참고로\r\nDurianBeacon은 Go 버전 외에도 Rust 언어로 개발된 버전이 함께 존재하는 것이 특징이다.\r\nFigure 1. Go 언어로 개발된 DurianBeacon의 소스 코드 정보\r\n최초 유포 사례가 직접적으로 확인되지 않기 때문에 본 포스팅에서는 공격에 사용된 악성코드들을 기반\r\n으로 분석을 진행한다. 참고로 다양한 악성코드들이 공격에 사용되는데, 악성코드 제작자가 지정한 이름\r\n이 확인될 경우에는 해당 이름을 사용하며 그렇지 않을 경우에는 유사 악성코드나 자사의 진단명을 명시\r\n하는 방식으로 정리한다.\r\n1. 과거 공격 사례\r\n1.1. Innorix Agent 악용 사례\r\n2023년 2월 ASEC에서는 “취약한 Innorix 악용한 악성코드 유포 : Andariel” 블로그를 통해 Andariel 위협 그\r\n룹이 취약한 버전의 Innorix Agent 사용자를 대상으로 악성코드를 유포한 정황을 공개하였다. [5] 유포에\r\n악용된 Innorix Agent 프로그램은 파일 전송 솔루션 클라이언트 프로그램으로, 한국인터넷진흥원(KISA)에\r\n서 취약점 관련 내용을 게시하고 보안 업데이트가 권고된 INNORIX Agent 9.2.18.450 및 이전 버전들로 확\r\n인되었다. [6]\r\nFigure 2. 취약한 Innorix Agent를 이용한 악성코드 유포 정황\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 2 of 20\n\n위의 공격 사례를 통해 공격에 사용된 악성코드들을 조사한 결과 다수의 국내 대학교에서 악성코드들이\r\n감염되었던 것을 확인하였다. 공격에 사용된 악성코드들은 대부분 백도어 유형이며 모두 이전에 알려진\r\n유형은 존재하지 않는다. 하지만 과거 사용되었던 다른 악성코드나 이후 공격에 사용된 악성코드들과의\r\n연관성이 존재하기 때문에 여기에서는 간략하게 특징을 정리한다.\r\n1.1.1. NukeSped 변종 – Volgmer\r\n과거 블로그에서도 언급했다시피 해당 악성코드는 C\u0026C 서버와의 통신 과정에서 패킷을 암호화하기 위해\r\n다음과 같은 0x10 바이트 키를 사용했다. 해당 키 값은 미국의 사이버인프라보안청(CISA) 보고서에서\r\nHidden Cobra (Lazarus) 위협 그룹의 Volgmer 악성코드에서 사용한 키 값과 동일하다. [7] (현재 접속 불가)\r\nKey : 74 61 51 04 77 32 54 45 89 95 12 52 12 02 32 73\r\nVolgmer는 상대적으로 최근까지도 공격에 사용되고 있으며 레지스트리\r\n“HKLM\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Security” 키에 저장된 설정 데이터를 읽어 동작하고\r\nC\u0026C 서버와의 통신에 HTTP 프로토콜을 사용한다. 이러한 점은 과거 CISA 보고서에서 언급한 유형과 거\r\n의 유사한데, 이는 Volgmer는 별다른 변형 없이 지속적으로 공격에 사용되고 있다는 것을 의미한다. 또한\r\n해당 악성코드에서 Volgmer와 동일한 키 값이 사용되었지만 이 악성코드가 C\u0026C 서버와의 통신 패킷을 암\r\n호화하는데 해당 키 값을 사용하는 것과 달리 Volgmer는 레지스트리에 암호화되어 저장된 설정 데이터를\r\n복호화하는데 사용하였다는 차이점이 존재한다.\r\n이에 따라 위 악성코드를 Volgmer 유형으로 분류하기에는 한계가 있어 NukeSped 변종으로 분류한다. 기본\r\n적인 기능만을 제공하는 상대적으로 단순한 형태의 백도어이며 자가 삭제 과정에서 사용되는 Batch 스크\r\n립트가 기존 NukeSped 유형과 유사한 점이 특징이다.\r\nFigure 3. 자가 삭제 과정에서 사용되는 Batch 스크립트\r\n1.1.2. Andardoor\r\n닷넷으로 개발되었으며 TestProgram이라는 이름을 갖는 백도어 악성코드이다. 자사 진단명을 기반으로\r\nAndardoor로 분류하며 Dotfuscator 도구를 이용해 난독화된 것이 특징이다. 파일 작업, 프로세스 작업, 명령\r\n실행, 스크린샷 캡쳐 등 감염 시스템을 제어할 수 있는 여러 기능들을 지원한다. C\u0026C 서버와의 통신에는\r\nSSL을 이용한 암호화가 사용되며 서버 이름으로 “clientName”이라는 문자열을 지정하였다.\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 3 of 20\n\nFigure 4. C\u0026C 서버와의 SSL 통신 루틴\r\n1.1.3. 1th Troy Reverse Shell\r\n1th Troy는 Go 언어로 개발된 Reverse Shell 악성코드이다. 바이너리에 포함된 다음 문자열을 통해 악성코\r\n드가 “Reverse_Base64_Pipe”라는 단순한 이름이며 악성코드 제작자는 이를 “1th Troy”로 분류한 것을 확인\r\n할 수 있다.\r\nG:/Code/01__1th Troy/Go/Reverse_Base64_Pipe/Client/client.go\r\n기본적인 명령만을 제공하는 Reverse Shell 답게 지원하는 명령은 “cmd”, “exit”, “self delete”가 있으며, 각\r\n각 명령 실행, 프로세스 종료, 자가 삭제 기능을 지원한다.\r\nFigure 5. 단순한 형태의 리버스 쉘\r\n1.2. 국내 기업 공격 사례\r\nAndariel 그룹은 2023년 3월에도 국내 방산 업체 및 전자 장비 업체를 공격하여 악성코드들을 유포하였다.\r\n최초 침투 방식은 확인되지 않지만 자사 AhnLab Smart Defense (ASD) 인프라를 통해 mshta.exe 프로세스가\r\nTigerRat을 설치한 로그와 mshta.exe 프로세스를 종료시키는 로그가 확인된다. 이는 스크립트 악성코드를\r\n통해 설치된 것을 의미하며 스피어 피싱 공격이 사용된 것으로 보인다.\r\nFigure 6. TigerRAT을 설치하는 mshta 프로세스\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 4 of 20\n\n공격에 사용된 악성코드들은 주로 백도어이며 과거부터 Andariel 그룹이 사용하는 TigerRat이 함께 사용되\r\n었다.\r\n1.2.1. TigerRat\r\nTigerRat은 과거 한국인터넷진흥원(KISA)에서 이름붙인 RAT 악성코드로서 [8] 2020년 경부터 최근까지\r\nAndariel 위협 그룹이 공격에 꾸준히 사용하고 있다. 일반적으로 스피어 피싱 메일에 첨부된 악성 매크로\r\n문서 파일이나 워터링 홀 공격을 통해 유포된 것으로 알려져 있다. [9] Andariel 그룹은 취약한 버전의\r\nVMware Horizon 제품을 사용하는 국내 기업을 대상으로 Log4Shell 취약점 공격을 수행해 TigerRat을 설치\r\n한 사례도 존재한다. [10]\r\nTigerRat은 파일 작업, 명령 실행과 같은 기본적인 기능들 외에도 정보 수집, 키로깅, 스크린 캡쳐, 포트 포\r\n워딩 등 다양한 기능들을 지원하는 백도어 악성코드로서 C\u0026C 서버와 최초로 통신할 때 인증 과정이 존재\r\n하는 것이 특징이다. 과거 버전에서는 인증 시 다음과 같이 SSL 통신을 위장한 문자열을 사용하였다. 악성\r\n코드에 따라 “HTTP 1.1 /member.php SSL3.4” 또는 “HTTP 1.1 /index.php?member=sbi2009 SSL3.3.7” 문자열\r\n을 C\u0026C 서버에 전달한 이후 C\u0026C 서버로부터 “HTTP 1.1 200 OK SSL2.1” 문자열을 전달받을 경우에만 인\r\n증에 성공한다.\r\nFigure 7. C\u0026C 서버와의 인증에 사용된 문자열 – 과거 버전\r\n하지만 이번에 확인된 TigerRAT은 다음과 같이 랜덤한 0x20 크기의 문자열이 사용된다. 해당 문자열들은\r\n“fool”(dd7b696b96434d2bf07b34f9c125d51d), “iwan”(01ccce480c60fcdb67b54f4509ffdb56)에 대한 MD5 해시\r\n로 추정되며, 공격자는 네트워크 진단을 우회하기 위해 인증 과정에서 랜덤한 문자열을 사용한 것으로 보\r\n인다.\r\nFigure 8. C\u0026C 서버와의 인증에 사용된 문자열 – 최신 버전\r\nC\u0026C 요청 문자열 : dd7b696b96434d2bf07b34f9c125d51d\r\nC\u0026C 응답 문자열 : 01ccce480c60fcdb67b54f4509ffdb56\r\n1.2.2. Black RAT\r\nBlack RAT은 공격자가 제작한 것으로 추정되는 백도어 악성코드로서 다른 악성코드들처럼 Go 언어로 제\r\n작되었다. 이전 공격에서 확인된 1th Troy 리버스 쉘은 단순한 명령 실행 기능만 지원하지만 Black RAT은\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 5 of 20\n\n명령 실행 외에도 파일 다운로드, 스크린 캡쳐와 같은 다양한 기능들을 지원한다.\r\nFigure 9. Black RAT이 지원하는 기능들\r\n바이너리에 포함된 다음 문자열을 보면 악성코드 제작자가 해당 악성코드를 RAT으로 분류하였으며 이름\r\n을 Black으로 지정한 것을 알 수 있다.\r\nI:/01___Tools/02__RAT/Black/Client_Go/Client.go\r\n1.2.3. NukeSped 변종\r\n해당 공격에서도 전형적인 NukeSped 백도어가 사용되었다. 지원하는 기능은 네트워크 스캐닝, 프로세스\r\n및 파일 조회, 파일 업로드 / 다운로드, 명령 실행 등이 있다. 사용할 API들의 이름은 다음과 같이 암호화되\r\n어 있으며 이를 복호화한 이후에 직접 구해서 사용한다. 복호화에는 0x26 사이즈의 키가 사용된다.\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 6 of 20\n\nFigure 10. 난독화된 API 문자열\r\n복호화에 사용되는 키 값 : i\u003c6fu\u003e-0|HSLRCqd.xHqMB]4H#axZ%5!5!?SQ\u0026\r\n해당 NukeSped 변종에서도 자가 삭제를 위한 Batch 스크립트가 사용되는데 이전 공격에서 사용된 유형과\r\n는 약간의 차이가 존재한다.\r\nFigure 11. 자가 삭제 과정에서 사용되는 Batch 스크립트\r\n확인된 NukeSped 변종은 두 종류인데 각각 Reverse Shell 방식과 Bind Shell 방식이다. Bind Shell형태도\r\nReverse Shell 형태와 동일하게 사용하는 포트 즉 Listen하는 포트 번호는 10443번이다. 해당 NukeSped는\r\nTigerRat과 유사하게 C\u0026C 서버와 통신하기 이전에 인증 과정을 거치는데, TigerRat이 SSL 통신을 위장하\r\n였다면 NukeSped는 HTTP 통신을 위장하였다. 즉 아래와 같은 POST 요청을 전송한 후 정확히 매칭되는\r\nHTTP 응답이 올 때에만 C\u0026C 서버와 통신을 진행한다.\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 7 of 20\n\nFigure 12. 인증에 사용되는 HTTP 패킷\r\n2. 최근 공격 사례\r\nASEC에서는 Andariel 그룹의 공격을 모니터링하고 있으며 최근 Innorix Agent가 악성코드를 설치하는데\r\n악용되고 있는 사례를 확인하였다. Innorix Agent가 악성코드를 다운로드하는 방식이었던 이전 사례와 달\r\n리 직접 생성하는 방식이기 때문에 취약점 공격인지는 알 수 없으며 단순하게 악용된 것일 수 있다.\r\n해당 공격에서 확인된 악성코드들은 기존에 Andariel 그룹이 사용한 유형은 아니지만 Innorix가 공격에 사\r\n용된 점 외에도 공격 대상이 국내 대학교들인 점은 과거 공격 사례와 유사하다. 이외에도 비슷한 시점에\r\n국내 ICT 기업과 전자 장비 업체, 조선, 제조업 등 다양한 기업들을 대상으로 한 공격 사례가 확인되었으며\r\n분석 결과 Innorix 악용 공격 사례에서 사용된 악성코드들과의 연관성을 확인할 수 있었다.\r\n여기에서는 먼저 각각의 공격 사례와 공격 과정에서 사용된 악성코드들을 분석한다. 이후 각각의 공격 사\r\n례를 동일한 공격자의 소행으로 보고 있는 근거를 정리한 이후 해당 공격들과 과거 Andariel 위협 그룹의\r\n공격 사례들과의 연관성을 정리한다.\r\n2.1. Innorix Agent 악용 사례\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 8 of 20\n\n2.1.1. Goat RAT\r\n최근 국내 대학교들을 대상으로 한 공격에서 Innorix Agent가 악성코드를 설치했던 사례가 확인되었다.\r\nInnorix Agent는 “iexplorer.exe”라는 이름으로 악성코드를 설치하였는데 이는 과거부터 Andariel 그룹이 자\r\n주 사용하는 이름들 중 하나이다.\r\nFigure 13. Innorix Agent를 악용하여 Goat RAT을 설치\r\n공격에 사용된 악성코드는 Go 언어로 개발된 악성코드이며 다음과 같은 같은 원본 소스 코드 정보를 확인\r\n할 수 있다.\r\nE:/Projects/Malware/6_Goat_23/Goat/Goat.go\r\nE:/Projects/Malware/6_Goat_23/Goat/define.go\r\nE:/Projects/Malware/6_Goat_23/Goat/anti-vaccine.go\r\nE:/Projects/Malware/6_Goat_23/Goat/command.go\r\n비록 이전 공격에 사용된 Go 기반 백도어 악성코드들과 달리 난독화되어 있지만 기본적인 파일 작업이나\r\n자가 삭제와 같은 기능들을 확인할 수 있으며, 실제 다음과 같은 명령들을 실행한 로그도 확인된다.\r\n\u003e cmd /c tasklist\r\n\u003e cmd /c ipconfig /all\r\nFigure 14. 난독화된 함수 이름\r\n2.2. 국내 기업 공격 사례\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 9 of 20\n\n2.2.1. AndarLoader\r\nASEC에서는 Innorix Agent를 악용한 공격 사례와 별개로 유사한 시점에 또 다른 공격을 확인하였다. 최초\r\n유포 경로는 확인되지 않지만 공격에 사용된 악성코드는 위에서 Andardoor로 분류한 닷넷 악성코드와 동\r\n일하게 Dotfuscator 도구를 이용해 난독화되었으며 C\u0026C 서버와 SSL 통신을 하는 점도 동일하다. C\u0026C 서\r\n버와 연결 시에는 “clientName”를 사용했던 Andardoor와 달리 “sslClient” 문자열이 사용된다.\r\nFigure 15. C\u0026C 서버와의 SSL 연결 과정\r\n대부분의 기능들이 직접 구현되어 있던 Andardoor 악성코드와 달리 해당 악성코드는 외부에서 닷넷 어셈\r\n블리와 같은 실행 가능한 데이터를 받아 실행하는 다운로더 기능이 전부이다. C\u0026C 서버로부터 전달받은\r\n명령들 중 다음과 같은 명령에 따라 전달받은 코드를 실행하거나 종료할 수 있다. 공격자가 AndarLoader를\r\n이용해 수행한 행위 중에는 미미카츠를 감염 시스템에 설치하는 로그도 확인된다.\r\n분석 당시에는 C\u0026C 서버와 연결이 불가하여 실질적인 기능을 담당하는 부분은 확인하지 못했기 때문에\r\n기존 Andardoor와의 직접적인 유사성은 확인되지 않지만 동일한 난독화 도구를 사용한 점이나 C\u0026C 서버\r\n와의 통신 과정이 유사하여 여기에서는 AndarLoader 유형으로 분류하였다.\r\n명령 기능\r\nalibaba 다운로드한 닷넷 어셈블리 실행\r\nfacebook 다운로드한 닷넷 메쏘드 실행\r\nexit 종료\r\nvanish 자가 삭제 및 종료\r\nTable 1. 수행 가능한 명령 목록\r\nAndarLoader가 공격자의 명령을 받아 실행한 명령들 중에는 mshta.exe 프로세스를 종료시키는 명령이 존\r\n재한다. AndarLoader가 파워쉘을 이용해 설치된 점이나 mshta.exe 프로세스와 관련된 점을 보면 최초 유입\r\n경로가 위에서 다룬 공격 사례처럼 스피어 피싱 공격일 가능성을 보여준다.\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 10 of 20\n\nFigure 16. AndarLoader가 실행한 명령\r\n참고로 AndarLoader에 감염된 시스템에는 다음과 같이 mshta.exe 프로세스가 C\u0026C 서버에 접속하는 로그\r\n도 함께 확인된다.\r\nFigure 17. 네트워크 통신 로그\r\nC\u0026C 주소 및 다운로드 주소로 kro.kr 도메인이 사용되었는데 이는 일반적으로 Kimsuky 위협 그룹에서 자\r\n주 사용하는 도메인이다. 또한 공격 과정에서 RDP 연결을 위해 Ngrok를 설치한 점도 Kimsuky 위협 그룹의\r\n공격 패턴과 유사하다.\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 11 of 20\n\nFigure 18. 설치한 Ngrok를 실행하는 로그\r\n2.2.2. DurianBeacon\r\nAndarLoader 악성코드를 조사하던 중 공격 과정에서 DurianBeacon이라는 이름의 악성코드가 함께 사용된\r\n것이 확인되었다. DurianBeacon은 Go 언어로 개발된 형태와 Rust 언어로 개발된 형태 2가지가 확인되며,\r\n모두 백도어 악성코드로서 C\u0026C 서버로부터 공격자의 명령을 받아 악성 행위를 수행할 수 있다.\r\nA. Go 버전\r\n바이너리에 포함된 다음 문자열을 통해 악성코드 제작자가 해당 악성코드를 DurianBeacon이라는 이름으\r\n로 제작한 것을 알 수 있다.\r\nG:/Dev/Go/DurianBeacon/Command.go\r\nG:/Dev/Go/DurianBeacon/SSL.go\r\nG:/Dev/Go/DurianBeacon/Utils.go\r\nG:/Dev/Go/DurianBeacon/main.go\r\nGo 언어로 개발된 DurianBeacon은 C\u0026C 서버와의 통신 시 SSL 프로토콜을 사용한다. 최초 접속 이후 감염\r\n시스템의 IP 정보, 사용자 이름, 데스크탑 이름, 아키텍처, 파일명을 전송한 후 명령을 대기하며 명령 전달\r\n시 결과를 반환한다. 지원하는 기능들 중에는 감염 시스템의 기본적인 정보를 수집하는 기능 외에 파일 다\r\n운로드 / 업로드, 조회, 명령 실행 등의 기능들이 존재한다.\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 12 of 20\n\nFigure 19. DurainBeacon이 지원하는 기능들\r\nSSL 프로토콜을 이용하기 때문에 통신 패킷은 암호화되어 있지만 내부적으로는 다음과 같은 패킷 구조가\r\n사용된다.\r\n오프셋 사이즈 설명\r\n0x00 0x04 명령 번호\r\n0x04 0x04 명령 인자의 사이즈\r\n0x08 가변 명령 인자\r\nTable 2. DurianBeacon의 명령 패킷 구조\r\n각각의 명령 번호에 해당하는 기능들은 다음과 같다.\r\n명령 기능\r\n0x00 Hibernate\r\n0x01 Interval\r\n0x02 명령 실행 (결과 반환)\r\n0x03 디렉터리 조회\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 13 of 20\n\n명령 기능\r\n0x04 드라이브 정보\r\n0x05, 0x06, 0x07, 0x08 파일 업로드\r\n0x09, 0x0A, 0x0B 파일 다운로드\r\n0x0C 디렉터리 생성\r\n0x0D 파일 삭제\r\n0x0E 명령 실행\r\n0x0F 종료\r\nTable 3. DurianBeacon의 명령 목록\r\n명령 실행 이후에는 성공 여부나 명령 실행 결과를 C\u0026C 서버에 전달하는데, 응답 또한 명령 패킷과 유사\r\n하다.\r\n오프셋 사이즈 설명\r\n0x00 0x04 응답 번호\r\n0x04 0x04 명령 실행 결과의 사이즈\r\n0x08 가변 명령 실행 결과\r\nTable 4. DurianBeacon의 응답 패킷 구조\r\n응답 설명\r\n0x00 명령 결과 반환\r\n0x01, 0x02, 0x03 디렉터리 조회 (시작, 종료 등)\r\n0x04 드라이브 정보\r\n0x05, 0x06, 0x07 파일 업로드 (에러, 성공 등)\r\n0x08, 0x09, 0x0A 파일 다운로드 (에러, 성공 등)\r\n0x0B, 0x0C 디렉터리 생성 (실패, 성공)\r\n0x0D, 0x0E 파일 삭제 (실패, 성공)\r\n0x0F, 0x10 명령 실행 (실패, 성공)\r\nTable 5. DurianBeacon의 응답 목록\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 14 of 20\n\nB. Rust 버전\r\n연관 파일들을 조사하던 중 Rust 언어로 만들어진 DurianBeacon 또한 공격에 사용된 것을 확인하였다.\r\nPDB 정보 : C:\\Users\\Anna\\Documents\\DurianBeacon\\target\\x86_64-pc-windows-msvc\\release\\deps\\DurianBeacon.pdb\r\nDurianBeacon은 C\u0026C 서버와의 통신 방식들 중 SSL 외에 XOR을 이용한 패킷 암호화를 지원하며 키는\r\n0x57이다.\r\nFigure 20. XOR 암호화를 지원하는 Rust 버전의 DurianBeacon\r\nGo 버전과 비교했을 때 패킷 구조 및 명령 또한 동일하다. Rust 버전의 DurianBeacon은 최초 접속 이후\r\n“durian2023” 키워드와 함께 감염 시스템의 IP 정보, 사용자 이름, 데스크탑 이름, 아키텍처, 파일명을 전송\r\n한 후 명령을 대기하며 명령 전달 시 결과를 반환한다.\r\nFigure 21. Rust 버전의 통신 패킷 – 테스트\r\n3. 최근 공격 사례들의 연관성\r\n위 항목에서 최근 확인된 두 개의 공격 즉 Innorix Agent를 악용해 국내 대학교를 공격한 사례와 스피어 피\r\n싱으로 추정되는 공격을 통해 국내 기업들에 악성코드를 설치한 사례들을 다루었다. 여기에서는 두 종류\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 15 of 20\n\n의 공격을 동일한 공격자의 소행으로 추정하고 있는 근거를 정리한다.\r\n먼저 자사 ASD 로그를 통해 특정 시스템에서 Durian, Goat RAT, AndarLoader 악성코드가 유사한 시점에 함\r\n께 수집된 사례가 존재한다. 해당 시스템은 공격자의 테스트 PC로 추정되는데 AndarLoader 악성코드의 경\r\n로명이 다음과 같았기 때문이다.\r\nAndarLoader의 수집 경로 : d:\\01__developing\\99__c#_obfuscated\\runtime broker.exe\r\n이외에도 백도어 악성코드들의 C\u0026C 서버가 공유된 사례도 존재한다. 공격자가 Innorix Agent를 악용해 악\r\n성코드를 설치할 때 대부분 Goat RAT이 사용되었지만 또 다른 악성코드가 설치된 사례도 일정 비율로 존\r\n재한다. 해당 악성코드는 비록 수집되지는 않았지만 C\u0026C 서버와의 통신 로그가 남아있으며 해당 주소는\r\n다른 공격에서 사용된 DurianBeacon의 C\u0026C 주소와 동일하였다.\r\nFigure 22. Innorix Agent를 통해 설치된 악성코드의 C\u0026C 통신 로그\r\n마지막으로 DurianBeacon이 AndarLoader를 설치한 로그도 확인할 수 있었다. 즉 해당 공격들은 유사한 시\r\n점에 발생하였으며 각각의 악성코드들이 설치 과정에서 또는 사용하는 C\u0026C 서버의 주소에서 연관성을\r\n보이고 있다.\r\nFigure 23. DurianBeacon이 AndarLoader를 생성한 로그\r\n최근 확인된 두 개의 공격 사례는 동일한 공격자의 소행으로 추정된다. 여기에서는 해당 공격들과\r\nAndariel 위협 그룹과의 연관성을 확인한다.\r\nA. 공격 대상\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 16 of 20\n\n국내 대학교와 방산, 전자 장비, ICT 업체 등을 대상으로 공격\r\nB. 공격 방식\r\n이전 사례와 동일하게 Innorix Agent 악용\r\n이전 사례와 동일하게 스피어 피싱 공격으로 추정되는 정황 확인\r\n악성코드 설치 시 사용한 경로 및 파일명의 유사성\r\nC. 사용된 악성코드\r\nGo 언어로 제작된 악성코드들의 사용\r\nAndardoor 악성코드와 AndarLoader 악성코드의 유사성\r\n과거 공격에 사용한 정보 탈취 악성코드와 유사한 악성코드 확인\r\n먼저 공격 대상이 되는 분야가 기존의 공격 사례에서 확인된 대상과 동일하다는 점과 이전 공격에서 확인\r\n된 공격 방식들이 동일하게 사용되었다는 점이 있다. Innorix Agent를 악용한 사례는 직접 확인되었으며 추\r\n정이긴 하지만 여러 로그들을 통해 스피어 피싱 공격이 사용된 것으로 보이는 정황들도 확인된다.\r\n그리고 악성코드 설치 시 사용된 “iexplorer.exe”라는 이름이 훨씬 이전 Andariel 공격 사례에서부터 확인되\r\n고 있다는 점이다. “iexplorer.exe” 외에도 “authsvc.exe”, “creditsvc.exe”와 같이 “svc” 키워드가 포함된 이름\r\n도 과거부터 꾸준히 사용되고 있다. 위의 과거 사례에서 사용된 “mainsvc.exe”, “certsvc.exe” 외에도\r\n“netsvc.exe”라는 이름이나 “srvcredit.exe” 같은 유사한 이름이 사용된 사례들도 존재한다.\r\nAndarLoader는 해당 항목에서 다루었다시피 이전 공격에서 사용된 Andardoor와 동일한 도구인 Dotfuscator\r\n의 평가판 버전으로 난독화되었으며 C\u0026C 서버와의 통신 방식도 SSL 암호화를 사용한다는 점에서 유사한\r\n것을 알 수 있다. 이외에도 Go 언어로 개발된 악성코드가 2개나 사용되었는데 이는 1th Troy Reverse Shell ,\r\nBlack RAT 등 올해 초부터 지속적으로 Go 언어로 개발된 악성코드가 사용되고 있는 흐름과도 맞아떨어진\r\n다.\r\n마지막으로 공격자의 테스트 PC로 추정되는 시스템과 실제 공격 사례에서 직접 제작한 것으로 추정되는\r\n정보 탈취형 악성코드들이 사용되었다는 점이 있다. 과거 사례에서도 Andariel 그룹은 공격 과정 중 계정\r\n정보 탈취를 전담하는 악성코드를 설치하여 인터넷 익스플로러나 크롬, 파이어폭스 웹 브라우저 등에 저\r\n장된 계정 정보를 탈취하였다. 해당 악성코드는 커맨드 라인 도구로서 추출한 계정 정보를 커맨드 라인으\r\n로 출력하였으며 공격자는 백도어를 이용해 결과를 C\u0026C 서버에 전달하였을 것으로 추정된다.\r\nFigure 24. 과거 공격 사례에서 확인된 정보 탈취 악성코드\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 17 of 20\n\n최근 공격에 사용된 정보 탈취형 악성코드도 이와 유사한 형태이며 차이점이 있다면 웹 브라우저들만을\r\n정보 탈취 대상으로 하고 계정 정보뿐만 아니라 히스토리까지 탈취 대상으로 한다는 점이 있다. 이외에도\r\n커맨드 라인으로 출력했던 과거와 달리 탈취한 정보를 동일한 경로에 “error.log”라는 이름의 파일로 생성\r\n한다.\r\nFigure 25. 최근 공격 사례에서 확인된 정보 탈취 악성코드\r\n5. 결론\r\nAndariel 그룹은 Kimsuky, Lazarus 그룹과 함께 국내를 대상으로 활발하게 활동하고 있는 위협 그룹들 중\r\n하나이다. 초기에는 주로 안보와 관련된 정보를 획득하기 위해 공격을 전개하였지만 이후에는 금전적 이\r\n득을 목적으로 한 공격도 수행하고 있다. [11] 초기 침투 시 주로 스피어 피싱 공격이나 워터링 홀 공격 그\r\n리고 소프트웨어의 취약점을 이용하는 것으로 알려져 있으며 공격 과정에서 다른 취약점을 이용해 악성\r\n코드를 배포하는 정황도 확인되고 있다.\r\n사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의\r\n해야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데\r\n이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 18 of 20\n\n파일 진단\r\n– Backdoor/Win.Agent.R562183 (2023.03.14.00)\r\n– Backdoor/Win.Andardoor.C5381120 (2023.02.16.01)\r\n– Backdoor/Win.Andardoor.R558252 (2023.02.16.01)\r\n– Backdoor/Win.AndarGodoor.C5405584 (2023.04.05.03)\r\n– Backdoor/Win.DurianBeacon.C5472659 (2023.08.18.02)\r\n– Backdoor/Win.DurianBeacon.C5472662 (2023.08.18.02)\r\n– Backdoor/Win.DurianBeacon.C5472665 (2023.08.18.03)\r\n– Backdoor/Win.Goat.C5472627 (2023.08.18.02)\r\n– Backdoor/Win.Goat.C5472628 (2023.08.18.02)\r\n– Backdoor/Win.Goat.C5472629 (2023.08.18.02)\r\n– Backdoor/Win.NukeSped.C5404471 (2023.04.03.02)\r\n– Backdoor/Win.NukeSped.C5409470 (2023.04.12.00)\r\n– Backdoor/Win.NukeSped.C5409543 (2023.04.12.00)\r\n– Infostealer/Win.Agent.C5472631 (2023.08.18.02)\r\n– Trojan/Win.Agent.C5393280 (2023.03.11.00)\r\n– Trojan/Win.Agent.C5451550 (2023.07.11.00)\r\n– Trojan/Win.Andarinodoor.C5382101 (2023.02.16.01)\r\n– Trojan/Win.Andarinodoor.C5382103 (2023.02.16.01)\r\n– Trojan/Win32.RL_Mimikatz.R366782 (2021.02.18.01)\r\n행위 진단\r\n– Suspicious/MDP.Download.M1004\r\n– Infostealer/MDP.Behavior.M1965\r\nMD5\r\n0211a3160cc5871cbcd4e5514449162b\r\n0a09b7f2317b3d5f057180be6b6d0755\r\n1ffccc23fef2964e9b1747098c19d956\r\n3ec3c9e9a1ad0e6a6bd75d00d616936b\r\n426bb55531e8e3055c942a1a035e46b9\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttp[:]//13[.]76[.]133[.]68[:]10443/\r\nhttp[:]//13[.]76[.]133[.]68[:]8080/\r\nhttp[:]//139[.]177[.]190[.]243/update[.]exe\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 19 of 20\n\nhttp[:]//27[.]102[.]107[.]224/update[.]exe\r\nhttp[:]//27[.]102[.]107[.]224[:]5443/\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nAhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용\r\n은 아래 배너를 클릭하여 확인해보세요.\r\nSource: https://asec.ahnlab.com/ko/56256/\r\nhttps://asec.ahnlab.com/ko/56256/\r\nPage 20 of 20", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "references": [ "https://asec.ahnlab.com/ko/56256/" ], "report_names": [ "56256" ], "threat_actors": [ { "id": "838f6ced-12a4-4893-991a-36d231d96efd", "created_at": "2022-10-25T15:50:23.347455Z", "updated_at": "2026-04-10T02:00:05.295717Z", "deleted_at": null, "main_name": "Andariel", "aliases": [ "Andariel", "Silent Chollima", "PLUTONIUM", "Onyx Sleet" ], "source_name": "MITRE:Andariel", "tools": [ "Rifdoor", "gh0st RAT" ], "source_id": "MITRE", "reports": null }, { "id": "34eea331-d052-4096-ae03-a22f1d090bd4", "created_at": "2025-08-07T02:03:25.073494Z", "updated_at": "2026-04-10T02:00:03.709243Z", "deleted_at": null, "main_name": "NICKEL ACADEMY", "aliases": [ "ATK3 ", "Black Artemis ", "COVELLITE ", "CTG-2460 ", "Citrine Sleet ", "Diamond Sleet ", "Guardians of Peace", "HIDDEN COBRA ", "High Anonymous", "Labyrinth Chollima ", "Lazarus Group ", "NNPT Group", "New Romanic Cyber Army Team", "Temp.Hermit ", "UNC577 ", "Who Am I?", "Whois Team", "ZINC " ], "source_name": "Secureworks:NICKEL ACADEMY", "tools": [ "Destover", "KorHigh", "Volgmer" ], "source_id": "Secureworks", "reports": null }, { "id": "110e7160-a8cc-4a66-8550-f19f7d418117", "created_at": "2023-01-06T13:46:38.427592Z", "updated_at": "2026-04-10T02:00:02.969896Z", "deleted_at": null, "main_name": "Silent Chollima", "aliases": [ "Onyx Sleet", "PLUTONIUM", "OperationTroy", "Guardian of Peace", "GOP", "WHOis Team", "Andariel", "Subgroup: Andariel" ], "source_name": "MISPGALAXY:Silent Chollima", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "bc6e3644-3249-44f3-a277-354b7966dd1b", "created_at": "2022-10-25T16:07:23.760559Z", "updated_at": "2026-04-10T02:00:04.741239Z", "deleted_at": null, "main_name": "Andariel", "aliases": [ "APT 45", "Andariel", "G0138", "Jumpy Pisces", "Onyx Sleet", "Operation BLACKMINE", "Operation BLACKSHEEP/Phase 3.", "Operation Blacksmith", "Operation DESERTWOLF/Phase 3", "Operation GHOSTRAT", "Operation GoldenAxe", "Operation INITROY/Phase 1", "Operation INITROY/Phase 2", "Operation Mayday", "Operation VANXATM", "Operation XEDA", "Plutonium", "Silent Chollima", "Stonefly" ], "source_name": "ETDA:Andariel", "tools": [], "source_id": "ETDA", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "732597b1-40a8-474c-88cc-eb8a421c29f1", "created_at": "2025-08-07T02:03:25.087732Z", "updated_at": "2026-04-10T02:00:03.776007Z", "deleted_at": null, "main_name": "NICKEL GLADSTONE", "aliases": [ "APT38 ", "ATK 117 ", "Alluring Pisces ", "Black Alicanto ", "Bluenoroff ", "CTG-6459 ", "Citrine Sleet ", "HIDDEN COBRA ", "Lazarus Group", "Sapphire Sleet ", "Selective Pisces ", "Stardust Chollima ", "T-APT-15 ", "TA444 ", "TAG-71 " ], "source_name": "Secureworks:NICKEL GLADSTONE", "tools": [ "AlphaNC", "Bankshot", "CCGC_Proxy", "Ratankba", "RustBucket", "SUGARLOADER", "SwiftLoader", "Wcry" ], "source_id": "Secureworks", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "3fff98c9-ad02-401d-9d4b-f78b5b634f31", "created_at": "2023-01-06T13:46:38.376868Z", "updated_at": "2026-04-10T02:00:02.949077Z", "deleted_at": null, "main_name": "Cleaver", "aliases": [ "G0003", "Operation Cleaver", "Op Cleaver", "Tarh Andishan", "Alibaba", "TG-2889", "Cobalt Gypsy" ], "source_name": "MISPGALAXY:Cleaver", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "a2b92056-9378-4749-926b-7e10c4500dac", "created_at": "2023-01-06T13:46:38.430595Z", "updated_at": "2026-04-10T02:00:02.971571Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "Operation DarkSeoul", "Bureau 121", "Group 77", "APT38", "NICKEL GLADSTONE", "G0082", "COPERNICIUM", "Moonstone Sleet", "Operation GhostSecret", "APT 38", "Appleworm", "Unit 121", "ATK3", "G0032", "ATK117", "NewRomanic Cyber Army Team", "Nickel Academy", "Sapphire Sleet", "Lazarus group", "Hastati Group", "Subgroup: Bluenoroff", "Operation Troy", "Black Artemis", "Dark Seoul", "Andariel", "Labyrinth Chollima", "Operation AppleJeus", "COVELLITE", "Citrine Sleet", "DEV-0139", "DEV-1222", "Hidden Cobra", "Bluenoroff", "Stardust Chollima", "Whois Hacking Team", "Diamond Sleet", "TA404", "BeagleBoyz", "APT-C-26" ], "source_name": "MISPGALAXY:Lazarus Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "771d9263-076e-4b6e-bd58-92b6555eb739", "created_at": "2025-08-07T02:03:25.092436Z", "updated_at": "2026-04-10T02:00:03.758541Z", "deleted_at": null, "main_name": "NICKEL HYATT", "aliases": [ "APT45 ", "Andariel", "Dark Seoul", "Jumpy Pisces ", "Onyx Sleet ", "RIFLE Campaign", "Silent Chollima ", "Stonefly ", "UN614 " ], "source_name": "Secureworks:NICKEL HYATT", "tools": [ "ActiveX 0-day", "DTrack", "HazyLoad", "HotCriossant", "Rifle", "UnitBot", "Valefor" ], "source_id": "Secureworks", "reports": null }, { "id": "32a223a8-3c79-4146-87c5-8557d38662ae", "created_at": "2022-10-25T15:50:23.703698Z", "updated_at": "2026-04-10T02:00:05.261989Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "Lazarus Group", "Labyrinth Chollima", "HIDDEN COBRA", "Guardians of Peace", "NICKEL ACADEMY", "Diamond Sleet" ], "source_name": "MITRE:Lazarus Group", "tools": [ "RawDisk", "Proxysvc", "BADCALL", "FALLCHILL", "WannaCry", "MagicRAT", "HOPLIGHT", "TYPEFRAME", "Dtrack", "HotCroissant", "HARDRAIN", "Dacls", "KEYMARBLE", "TAINTEDSCRIBE", "AuditCred", "netsh", "ECCENTRICBANDWAGON", "AppleJeus", "BLINDINGCAN", "ThreatNeedle", "Volgmer", "Cryptoistic", "RATANKBA", "Bankshot" ], "source_id": "MITRE", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null }, { "id": "f32df445-9fb4-4234-99e0-3561f6498e4e", "created_at": "2022-10-25T16:07:23.756373Z", "updated_at": "2026-04-10T02:00:04.739611Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "APT-C-26", "ATK 3", "Appleworm", "Citrine Sleet", "DEV-0139", "Diamond Sleet", "G0032", "Gleaming Pisces", "Gods Apostles", "Gods Disciples", "Group 77", "Guardians of Peace", "Hastati Group", "Hidden Cobra", "ITG03", "Jade Sleet", "Labyrinth Chollima", "Lazarus Group", "NewRomanic Cyber Army Team", "Operation 99", "Operation AppleJeus", "Operation AppleJeus sequel", "Operation Blockbuster: Breach of Sony Pictures Entertainment", "Operation CryptoCore", "Operation Dream Job", "Operation Dream Magic", "Operation Flame", "Operation GhostSecret", "Operation In(ter)caption", "Operation LolZarus", "Operation Marstech Mayhem", "Operation No Pineapple!", "Operation North Star", "Operation Phantom Circuit", "Operation Sharpshooter", "Operation SyncHole", "Operation Ten Days of Rain / DarkSeoul", "Operation Troy", "SectorA01", "Slow Pisces", "TA404", "TraderTraitor", "UNC2970", "UNC4034", "UNC4736", "UNC4899", "UNC577", "Whois Hacking Team" ], "source_name": "ETDA:Lazarus Group", "tools": [ "3CX Backdoor", "3Rat Client", "3proxy", "AIRDRY", "ARTFULPIE", "ATMDtrack", "AlphaNC", "Alreay", "Andaratm", "AngryRebel", "AppleJeus", "Aryan", "AuditCred", "BADCALL", "BISTROMATH", "BLINDINGCAN", "BTC Changer", "BUFFETLINE", "BanSwift", "Bankshot", "Bitrep", "Bitsran", "BlindToad", "Bookcode", "BootWreck", "BottomLoader", "Brambul", "BravoNC", "Breut", "COLDCAT", "COPPERHEDGE", "CROWDEDFLOUNDER", "Castov", "CheeseTray", "CleanToad", "ClientTraficForwarder", "CollectionRAT", "Concealment Troy", "Contopee", "CookieTime", "Cyruslish", "DAVESHELL", "DBLL Dropper", "DLRAT", "DRATzarus", "DRATzarus RAT", "Dacls", "Dacls RAT", "DarkComet", "DarkKomet", "DeltaCharlie", "DeltaNC", "Dembr", "Destover", "DoublePulsar", "Dozer", "Dtrack", "Duuzer", "DyePack", "ECCENTRICBANDWAGON", "ELECTRICFISH", "Escad", "EternalBlue", "FALLCHILL", "FYNLOS", "FallChill RAT", "Farfli", "Fimlis", "FoggyBrass", "FudModule", "Fynloski", "Gh0st RAT", "Ghost RAT", "Gopuram", "HARDRAIN", "HIDDEN COBRA RAT/Worm", "HLOADER", "HOOKSHOT", "HOPLIGHT", "HOTCROISSANT", "HOTWAX", "HTTP Troy", "Hawup", "Hawup RAT", "Hermes", "HotCroissant", "HotelAlfa", "Hotwax", "HtDnDownLoader", "Http Dr0pper", "ICONICSTEALER", "Joanap", "Jokra", "KANDYKORN", "KEYMARBLE", "Kaos", "KillDisk", "KillMBR", "Koredos", "Krademok", "LIGHTSHIFT", "LIGHTSHOW", "LOLBAS", "LOLBins", "Lazarus", "LightlessCan", "Living off the Land", "MATA", "MBRkiller", "MagicRAT", "Manuscrypt", "Mimail", "Mimikatz", "Moudour", "Mydoom", "Mydoor", "Mytob", "NACHOCHEESE", "NachoCheese", "NestEgg", "NickelLoader", "NineRAT", "Novarg", "NukeSped", "OpBlockBuster", "PCRat", "PEBBLEDASH", "PLANKWALK", "POOLRAT", "PSLogger", "PhanDoor", "Plink", "PondRAT", "PowerBrace", "PowerRatankba", "PowerShell RAT", "PowerSpritz", "PowerTask", "Preft", "ProcDump", "Proxysvc", "PuTTY Link", "QUICKRIDE", "QUICKRIDE.POWER", "Quickcafe", "QuiteRAT", "R-C1", "ROptimizer", "Ratabanka", "RatabankaPOS", "Ratankba", "RatankbaPOS", "RawDisk", "RedShawl", "Rifdoor", "Rising Sun", "Romeo-CoreOne", "RomeoAlfa", "RomeoBravo", "RomeoCharlie", "RomeoCore", "RomeoDelta", "RomeoEcho", "RomeoFoxtrot", "RomeoGolf", "RomeoHotel", "RomeoMike", "RomeoNovember", "RomeoWhiskey", "Romeos", "RustBucket", "SHADYCAT", "SHARPKNOT", "SIGFLIP", "SIMPLESEA", "SLICKSHOES", "SORRYBRUTE", "SUDDENICON", "SUGARLOADER", "SheepRAT", "SierraAlfa", "SierraBravo", "SierraCharlie", "SierraJuliett-MikeOne", "SierraJuliett-MikeTwo", "SimpleTea", "SimplexTea", "SmallTiger", "Stunnel", "TAINTEDSCRIBE", "TAXHAUL", "TFlower", "TOUCHKEY", "TOUCHMOVE", "TOUCHSHIFT", "TOUCHSHOT", "TWOPENCE", "TYPEFRAME", "Tdrop", "Tdrop2", "ThreatNeedle", "Tiger RAT", "TigerRAT", "Trojan Manuscript", "Troy", "TroyRAT", "VEILEDSIGNAL", "VHD", "VHD Ransomware", "VIVACIOUSGIFT", "VSingle", "ValeforBeta", "Volgmer", "Vyveva", "W1_RAT", "Wana Decrypt0r", "WanaCry", "WanaCrypt", "WanaCrypt0r", "WannaCry", "WannaCrypt", "WannaCryptor", "WbBot", "Wcry", "Win32/KillDisk.NBB", "Win32/KillDisk.NBC", "Win32/KillDisk.NBD", "Win32/KillDisk.NBH", "Win32/KillDisk.NBI", "WinorDLL64", "Winsec", "WolfRAT", "Wormhole", "YamaBot", "Yort", "ZetaNile", "concealment_troy", "http_troy", "httpdr0pper", "httpdropper", "klovbot", "sRDI" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434436, "ts_updated_at": 1775792300, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/287a22d1ee13a4ac02679ca01da10c205a7b6a3e.pdf", "text": "https://archive.orkl.eu/287a22d1ee13a4ac02679ca01da10c205a7b6a3e.txt", "img": "https://archive.orkl.eu/287a22d1ee13a4ac02679ca01da10c205a7b6a3e.jpg" } }