{ "id": "75cd461c-b301-40b4-9064-dfbc1bcd6605", "created_at": "2026-04-06T00:13:41.133481Z", "updated_at": "2026-04-10T03:37:41.15227Z", "deleted_at": null, "sha1_hash": "75b020ebaaa61cb3d0cdf5e1ccde43e641b51af8", "title": "김수키(Kimsuky) 조직, 스텔스 파워(Operation Stealth Power) 침묵 작전", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 240803, "plain_text": "김수키(Kimsuky) 조직, 스텔스 파워(Operation Stealth Power) 침\r\n묵 작전\r\nBy 알약(Alyac)\r\nPublished: 2019-04-03 · Archived: 2026-04-05 17:47:07 UTC\r\n안녕하세요? 이스트시큐리티 시큐리티대응센터 (이하 ESRC) 입니다.\r\n2019년 04월 01일 【최근 한반도 관련 주요국 동향】이라는 내용과 【3.17 미국의 편타곤 비밀 국가안보\r\n회의】 등의 내용으로 스피어 피싱(Spear Phishing) 공격이 수행되고 있음을 확인했습니다.\r\n파일명은 다르지만, 두개의 파일은 같은 공격기법과 내용을 담고 있으며, 미국 국방부 건물인 펜타곤\r\n(PENTAGON) 표현에서는 '편타곤'으로 일부 오타가 존재합니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 1 of 14\n\n이번 지능형지속위협(APT) 공격을 받은 곳들은 주로 외교·안보·통일분야 및 대북/탈북단체 등에서 활동\r\n하는 곳들 입니다.\r\nESRC에서는 지난 3월 21일 워터링 홀(Watering Hole) 공격 '오퍼레이션 로우 킥(Operation Low Kick)'을 보\r\n고한 바 있는데, 이번 공격들도 같은 위협조직에 의해 진행되고 있음을 확인했습니다.\r\n■ 은밀한 파워쉘 위협, '오퍼레이션 스텔스 파워(Operation Stealth Power)' 배경\r\n공격자는 한국의 특정 분야에 속한 사람들만 표적화하여, 해킹용 이메일을 발송한 정황이 포착되었습니\r\n다.\r\n실제 공격에 사용된 화면을 입수하여 분석한 결과 나름 능숙하고 정교한 한국어 표현이 사용되었으며, 암\r\n호화된 HWP 악성 코드를 활용해 해킹된 한국의 특정 웹 서버(C2)와 통신을 수행합니다.\r\n그런 다음 파워쉘 기반의 키로그(Keylog) 명령을 수행하여, 외부 노출을 최대한 은닉한 채 내부 정보탈취\r\n를 수행합니다.\r\nESRC는 이번 공격이 보안 레이더에서 탐지하기 어려울 정도의 암호화된 침투기능을 활용한 점과 파워쉘\r\n코드 기반의 스파이 기능이 사용된 특징을 조합해 '오퍼레이션 스텔스 파워(Operation Stealth Power)'로\r\n명명했습니다.\r\n■ 정부후원을 받는 공격조직, 일명 '김수키(Kimsuky)' 조직 대남 사이버 위협 활동 증가\r\nhttps://blog.alyac.co.kr/2234\r\nPage 2 of 14\n\n[그림 1] 해킹 공격으로 사용된 스피어 피싱(Spear Phishing) 이메일 화면\r\n스피어 피싱 공격에 사용된 이메일을 확인해 보면, 마치 구글 지메일에서 발송된 것처럼 보이지만, 실제\r\n분석을 해보면 발신자 도메인 조작을 수행했으며, 한국의 특정 호스트에서 발송되었습니다.\r\n이메일에는 '최근 한반도 관련 주요국 동향.hwp' 파일이 첨부되어 있는데, 이것이 바로 악의적 코드가 담겨\r\n있는 악성문서 파일입니다.\r\nHWP 문서내부의 스트림 데이터에는 'BIN0001.eps' 포스트 스크립트(Post Script) 파일이 포함된 것을 볼 수\r\n있습니다. 그리고 해당 데이터는 2019년 03월 31일 일요일에 생성되었습니다.\r\n악성코드를 제작하는 공격자들이 일요일에도 활발하게 움직이고 있다는 것을 배제하기 어렵습니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 3 of 14\n\n[그림 2] HWP 내부 스트림 및 생성날짜 화면\r\nHWP 파일은 문서작성 프로그램 자체의 암호화 기능을 적용해, 암호을 알기 전까진 EPS 코드를 분리해 분\r\n석할 수 없고, 보안 프로그램이 악성여부를 파악하는데도 어려움이 발생하게 됩니다.\r\n그래서 해킹 이메일 본문에 별도의 암호를 지정해 발송하게 되는 것이며, 공격 수신자로 하여금 해킹 이메\r\n일 원문을 외부에 신고 또는 제보하지 않도록 삭제유도의 문구를 포함하고 있는 특징을 보이고 있습니다.\r\n암호를 해독해 내부 포스트 스크립트(Post Script) 코드를 파악해 보면, 쉘코드(Shellcode)가 포함된 것을 알\r\n수 있습니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 4 of 14\n\n[그림 3] EPS 내부 쉘코드 화면\r\n쉘코드는 기존 김수키 조직이 사용하던 방식에서 한단계 더 변화가 되었으며, 암호화된 코드를 복호화하\r\n면 한국의 특정 호스트로 통신을 수행하는 것이 확인됩니다.\r\nESRC에서는 해당 웹 서버가 해킹되어 악용되고 있는 것으로 파악해, 한국인터넷진흥원(KISA)과 긴밀히\r\n협력해 보안조치 강화를 진행 중입니다.\r\n이번 공격에는 과거 사례와는 다르게 'mshta.exe' 프로세스를 통해 'HTML 응용 프로그램(.HTA)' 형태\r\n인 'first.hta' 파일을 실행하도록 만듭니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 5 of 14\n\n[그림 4] 쉘코드 내부에 숨겨져 있는 악성 HTA 연결 코드\r\n해킹된 C2 서버의 보안조치가 일부 진행되면서, 공격자는 제거되었던 'first.hta' 파일을 다시 변경하고 있기\r\n도 합니다.\r\n2019년 04월 01일 오후에는 다음과 같이 'Hello!' 문구가 보여지고, 배경이 흰색이었지만, 2019년 04월 02일\r\n오후에는 'This is Your First Screen!' 문구로 변경되었고, 배경화면이 적색으로 변경되었습니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 6 of 14\n\n[그림 5] 변경되었던 'first.hta' 웹 사이트 화면\r\n겉으로 보기에는 마치 로그인 화면 사이트처럼 보이지만, 단순히 로그인 폼처럼 위장한 것이며 실제로 로\r\n그인 핵심 기능은 전혀 존재하지 않습니다.\r\n다만, 내부 VBScript 코드를 통해 특정 호스트로 연결을 시도하게 되며, 이 다음부터 악의적인 C2와 명령\r\n을 주고 받게 됩니다.\r\n그리고 2차 스테이지(Stage) 경로 등이 일부 변경되었습니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 7 of 14\n\n[그림 6] 'first.hta' 내부 1차 스테이지 코드 화면 비교\r\n1차 스테이지에서 2차 스테이지로 연결되는 코드는 공격시점에 따라 하위주소가 변경된 바 있지만, 특별\r\n히 내부 코드에서 큰 변화는 발견되지 않았습니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 8 of 14\n\n'expres.php' 2차 코드가 작동하면, 다음과 같이 레지스트리 설정을 통한 보안 권한 변경과 함께 파워쉘 명\r\n령을 통해 또 다른 3차 스테이지로 연결을 시도합니다.\r\n연결되는 URL 경로는 'moonx.hta' 파일이 연결되고, 조건에 따라 'cow.php', 'expres.php' 등을 다시 호출하게\r\n됩니다. PHP 명령의 별도 인자(파라미터) 값의 조건에 따라 명령이 변경될 수 있습니다.\r\n그리고 접속 상황에 따라 다음과 같은 파월쉘 명령을 수행해 'mshta.exe' 프로세스를 종료하기도 합니다.\r\nSet WShell=CreateObject(\"WScript.Shell\"):retu=WShell.run(\"powershell.exe taskkill /im mshta.exe /f\" , 0 ,true)\r\n[그림 7] 'expres.php' 명령어 코드 화면\r\n그리고 마지막 단계에서 연결되는 'driving.ps1' 파워쉘 스크립트를 통해 감염된 컴퓨터의 키보드 입력내용\r\n(키로깅)과 프로세스, 서비스 리스트 등의 정보를 수집해 해당 서버로 전송하게 됩니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 9 of 14\n\n[그림 8] 키보드 입력 내용 저장 함수 \r\n수집된 정보들은 'upload.php' 명령을 통해 C2 서버로 은밀하게 유출됩니다.\r\nhttps://blog.alyac.co.kr/2234\r\nPage 10 of 14\n\n[그림 9] 컴퓨터 정보 수집 후 유출을 시도하는 코드\r\n■ 유사 위협 연관성 분석\r\n이번 HWP 문서파일 공격에서 문서 작성자는 'Tom' 계정이 사용되었습니다.\r\n[그림 10] 악성 HWP 문서 메타 데이터 정보\r\nhttps://blog.alyac.co.kr/2234\r\nPage 11 of 14\n\nESRC는 2019년 03월 08일 동일한 C2 도메인에서 유포된 또 다른 위협사례를 포착한 바 있는데, 이때는 단\r\n순 URL 피싱 기법이었고, 한국 포털사의 아이디와 암호를 탈취 시도하는 형태입니다.\r\n이메일 본문에 이번 C2와 동일한 호스트와 링크를 걸어 사용하였고, 마치 '국가안전보장회의(NSC)' 취재\r\n내용처럼 이용자를 현혹하고 있었습니다.\r\n[그림 11] 피싱용 악성 이메일 본문 내용\r\n그리고 [다운로드] 링크를 통해 가짜 포털사 로그인 화면에서 계정과 암호가 성공적으로 탈취되면, 동일한\r\nC2 서버 하위에 존재하는 정상 PDF 문서를 보여주어 이용자로 하여금 문제 없는 내용처럼 신뢰하도록 만\r\n듭니다.\r\n[그림 12] 개인정보 유출 후에 보여지는 정상적인 PDF 화면\r\nhttps://blog.alyac.co.kr/2234\r\nPage 12 of 14\n\nESRC는 이 문서를 분석하는 과정에서 흥미로운 단서를 포착했습니다. 바로 이곳에 사용된 PDF 파일의 작\r\n성자 계정에서도 이번 HWP 취약점 공격과 마찬가지로 'Tom' 계정이 동일하게 발견됐습니다.\r\n공격자는 실제 사용 중인 컴퓨터의 윈도우즈 계정명을 'Tom'으로 설정해 사용하고 있을 것으로 확신합니\r\n다.\r\n[그림 13] PDF 문서 속성화면에 포함된 'Tom' 계정 화면\r\n이 정상적인 PDF 문서를 보여주는 공격에 사용된 호스트를 살펴보면 다음과 같습니다.\r\n- enindi25-142.godo.co[.]kr (106.249.25.142)\r\n그리고 2019년 03월 04일 외교통일위원회를 사칭해 수행된 피싱에서도 이와 동일한 데이터가 사용됩니\r\n다.\r\n이 공격에 사용된 Base64 코드를 분석하면, 'tcjst.com' 도메인으로 접속 신호로그를 전송하는 비콘(Beacon)\r\n기능이 존재합니다.\r\n- tcjst.com/img/dot[.]gif\r\nhttps://blog.alyac.co.kr/2234\r\nPage 13 of 14\n\n[그림 14] 'tcjst.com' 비콘 코드 화면\r\n이 비콘 코드는 한국의 여러 침해사고에서 발견되고 있는 특징이 있으며, 김수키(Kimsuky) 위협 조직의 피\r\n싱 사례에서 발견이 되고 있습니다.\r\n이와 관련된 내용들은 추후 '쓰렛 인사이드(Threat Inside)' 서비스를 통해 위협 인텔리전스 리포트와 IoC(침\r\n해지표) 등을 제공할 예정입니다.\r\nSource: https://blog.alyac.co.kr/2234\r\nhttps://blog.alyac.co.kr/2234\r\nPage 14 of 14", "extraction_quality": 1, "language": "KO", "sources": [ "MITRE", "ETDA" ], "references": [ "https://blog.alyac.co.kr/2234" ], "report_names": [ "2234" ], "threat_actors": [ { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434421, "ts_updated_at": 1775792261, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/75b020ebaaa61cb3d0cdf5e1ccde43e641b51af8.pdf", "text": "https://archive.orkl.eu/75b020ebaaa61cb3d0cdf5e1ccde43e641b51af8.txt", "img": "https://archive.orkl.eu/75b020ebaaa61cb3d0cdf5e1ccde43e641b51af8.jpg" } }