{
	"id": "45c6878b-7a2c-4fc6-b26f-64d079163b8b",
	"created_at": "2026-04-06T00:18:20.059662Z",
	"updated_at": "2026-04-10T03:38:06.391738Z",
	"deleted_at": null,
	"sha1_hash": "a585cd9fe52eac6dfd8e1a1e8ef4d768d7b78680",
	"title": "국가기반 APT 그룹 '오퍼레이션 스타 크루저(Operation Star Cruiser)' 수행 \u0026hellip; 사이버 첩보활동 지속",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 301995,
	"plain_text": "국가기반 APT 그룹 '오퍼레이션 스타 크루저(Operation Star\r\nCruiser)' 수행 \u0026hellip; 사이버 첩보활동 지속\r\nBy 알약(Alyac)\r\nPublished: 2018-04-25 · Archived: 2026-04-05 16:57:50 UTC\r\n■ 한국 맞춤형 표적공격 '작전명 스타 크루저(Operation Star Cruiser)' 배경\r\n이스트시큐리티(ESTsecurity)의 CTI 전문 조직인 시큐리티대응센터(이하 ESRC)는 정부 차원의 후원을 받\r\n는 것으로 추정되는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 발견했\r\n습니다.\r\n이 캠페인은 현재 한국 대상의 고도화된 위협 중 가장 왕성하게 활동하고 있으며, ESRC에서는 이들이 '금\r\n성121(Geumseong121) 위협그룹'과 직·간접적으로 연계된 APT 조직인 라자루스(Lazarus) 그룹으로 판단하\r\n고 있습니다.\r\n이른바 '작전명 스타 크루저(Operation Star Cruiser)'로 명명된 이번 캠페인은 HWP 문서파일 취약점을 사\r\n용했는데, 지난 2018년 02월부터 03월까지 핵심적으로 수행된 '작전명 배틀 크루저(Operation Battle\r\nCruiser)'를 우선 참조해 주시기 바랍니다.\r\n이 두개의 유사 오퍼레이션은 하나의 연장선에서 약 2주간의 일정 간격을 두고 진행되었고, 마치 쌍둥이\r\n처럼 TTPs(Tactics/Tools, Techniques and Procedures)의 유사성이 강력히 연결됩니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 1 of 13\n\n또, 공격에 활용된 Implants, Attribution, Infrastructure 등도 같은 패턴과 흐름을 유지하고, 최종 Payload 역시\r\n유사 명령제어(C2) 프로토콜을 가지고 있습니다.\r\n4월 현재 한국을 겨냥한 '오퍼레이션 스타 크루저'의 공격자는 이전 위협과 거의 유사한 체계를 그대로 활\r\n용했습니다. ESRC에서 이 캠페인들을 면밀히 조사한 결과 2014년 11월 24일 수행된 미국 소니픽쳐스 공\r\n격의 침해 지표와도 유사한 부분이 존재함을 관찰할 수 있었습니다.\r\n특히, 흥미로운 점은 지난 2월 해외에서 DOC 문서 형태의 CVE-2018-4878 취약점을 결합해 마치 암호화\r\n폐 내용으로 위장된 공격이 처음 식별된 후, 연이어 3월과 4월에는 HWP 문서 취약점을 이용해 한국으로\r\n표적지가 변경된 점입니다.\r\n■ 문서파일 취약점을 활용한 스피어 피싱 위협은 현재 진행형\r\n해당 위협그룹은 대표적으로 크게 3가지의 사이버 전술 무기 체계를 사용합니다. ① Supply Chain Attack\r\n② Spear Phishing Attack ③ Watering Hole Attack 등이며, 침투 기반기술로 각종 시스템 및 응용프로그램\r\nZero-Day Exploit 등을 활용합니다.\r\n이번 공격의 위협 벡터(공격자가 침해대상에 사용한 접근수단)는 스피어 피싱이며, 한국 로컬 환경에 최적\r\n화된 HWP 취약점이 사용 되었습니다.\r\n실제 공격에 사용된 HWP 문서 파일의 스트림 속성을 살펴보면 정상 문서 포맷에 악성 스크립트가 삽입된\r\n형태를 가집니다.\r\n[그림 1] 공격에 사용된 HWP 취약점 파일의 내부 구조 및 날짜\r\n4월 달 '오퍼레이션 스타 크루저' 공격에 사용된 문서 스트림의 생성날짜와 시간은 2018-04-10 03:19:51\r\n(UTC)로 지정된 것을 볼 수 있으며, 한국 표준 시간(KST)으로 변환 시 2018년 04월 10일 오후 12시 19분 경\r\n에 제작된 것을 알 수 있습니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 2 of 13\n\n참고로 3월 달 '오퍼레이션 배틀 크루저' 공격에 사용된 HWP 문서는 2018-03-26 10:43:21 (UTC) 작성되었\r\n습니다.\r\n상기 악성 문서 파일이 실행되면 다음과 같이 한국의 특정 암호화폐 거래와 관련된 회사의 거래처 원장 내\r\n용이 보여집니다.\r\n[그림 2] HWP 취약점 문서 실행 시 보여지는 화면 (일부 모자이크 처리)\r\n실제 공격에 사용된 문서 파일의 메타 데이터 기반 분석을 수행해 보면, 작성자와 마지막 수정한 사람의\r\n아이디는 모두 'TATIANA' 값으로 일치합니다. \r\n더불어 시계열 기반으로 살펴보면, 04월 10일 오후 12시 00분 경 최초 작성부터 12시 18분 경 마지막 수정\r\n까지 문서 제작에 대략 19분 정도가 소요된 것을 확인할 수 있습니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 3 of 13\n\n[그림 3] 공격에 활용된 문서 파일의 메타 데이터\r\n문서 내부을 보다 자세히 살펴보면 'BinData' 스트림 영역에 'BIN0001.PS' 이름의 Post Script 코드가 삽입되\r\n어 있는 것을 알 수 있으며, Zlib 압축 포맷을 해제하면 내부에 Shellcode 영역이 XOR 명령으로 인코딩 된\r\n것을 확인할 수 있습니다.\r\n[그림 4] HWP 구조 중  'BIN0001.PS' 스크립트의 압축 해제 화면\r\n인코딩되어 있는 Shellcode 영역을 복호화하면 다음과 같이 특정 명령제어(C2) 서버로 통신을 시도하는 것\r\n을 확인할 수 있습니다.\r\n그리고 다운로드 시도되는 최종 파일명이 'star3.avi', 'star6.avi' 이름을 쓰고 있는 것을 알 수 있습니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 4 of 13\n\n[그림 5] 특정 호스트의 명령제어(C2) 서버로 통신하는 코드 화면\r\n추가로 설치되는 각각의 파일은 마치 동영상 파일(.avi)처럼 위장하고 있지만 실제로는 모두 실행 파일\r\n(.dll)이며, 감염 대상 시스템의 프로세서 조건에 따라 32비트와 64비트가 구분되어 선택됩니다.\r\n'star3.avi' 바이너리 파일이 제작된 시점은 한국 표준(KST) 시간 기준으로 2018-04-02 11:06:45 입니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 5 of 13\n\n[그림 6] 'star3.avi' 악성파일의 PE 포맷 구조 화면\r\n■ 각 오퍼레이션의 유사도 및 연관성 분석\r\n3월 달 제작된 '오퍼레이션 배틀 크루저'의 다운로드 파일은 'battle32.avi', 'battle64.avi' 이름이 사용되었고,\r\n4월 현재 제작된 '오퍼레이션 스타 크루저'의 다운로드 파일명은 'star3.avi', 'star6.avi' 형태로 변경된 특징이\r\n있습니다.\r\n※ 파일명 : 배틀(battle+플랫폼) → 스타(star+플랫폼)\r\n- battle32.avi (Operation Battlecruiser) → star3.avi (Operation Starcruiser)\r\n- battle64.avi (Operation Battlecruiser) → star6.avi (Operation Starcruiser)\r\n최종 설치된 악성 DLL 파일은 다음과 같은 3개의 호스트 사이트로 감염된 시스템 정보를 유출시도하게 됩\r\n니다.\r\n※ 오퍼레이션 배틀크루저 (Operation Battlecruiser) C\u0026C\r\n- hypnosmd.com/include/top.php (64.90.49.224 / US)\r\n- 0756rz.com/include/left.php (104.222.239.110 / US)\r\n- 51xz8.com/include/top.php (104.222.230.87 / US)\r\n-----------------------------------------------------------\r\n※ 오퍼레이션 스타크루저 (Operation Starcruiser) C\u0026C\r\n- 10vs.net/include/left.php (104.224.219.109 / US)\r\n- 168va.com/include/data/left.php (104.222.238.198 / US)\r\n- 1996hengyou.com/include/dialog/left.php (160.124.191.80 / ZA)\r\nhttp://blog.alyac.co.kr/1653\r\nPage 6 of 13\n\n두개의 오퍼레이션에서 사용한 정보유출 호스트 구조를 비교하면 'include/left.php' 경로를 일부 공통적으\r\n로 사용한 것을 알 수 있고, 도메인의 IP주소 대역도 유사한 점을 찾을 수 있습니다.\r\n그리고 명령제어(C2) 서버에 이용된 일부 호스트는 중국어 기반의 웹 서버로 구축된 공통점이 있어, 공격\r\n자가 사용하는 취약점이 관련되어 있을 것으로 추정됩니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 7 of 13\n\n[그림 7] 중국어 기반으로 구축되어 있는 일부 명령제어(C2) 서버 화면\r\n더불어 'battle32.avi' 코드와 'star3.avi' 내부 코드 구조를 비교해 보면 일부 동일한 함수의 번지까지 일치하\r\n는 것을 알 수 있습니다.\r\n[그림 8] 'star3.avi' 파일 코드(좌측)와 'battle32.avi' 파일 코드(우측)의 함수 비교 화면\r\n명령제어(C2) 통신에 사용하는 일부 코드의 경우도 '*dJU!*JE\u0026!M@UNQ@' 코드가 동일하게 사용됨을 확\r\n인하였습니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 8 of 13\n\n[그림 9] 'star3.avi' 파일 코드(좌측)와 'battle32.avi' 파일 코드(우측)의 통신 패킷 코드 화면\r\n더불어 'star3.avi', 'battle32.avi' 악성코드의 함수 흐름을 비교해 보면 거의 동일한 패턴과 흐름으로 구성된\r\n것을 확인할 수 있습니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 9 of 13\n\n[그림 10] 'star3.avi' 파일 코드(좌측)와 'battle32.avi' 파일 코드(우측)의 함수 실행 비교\r\n명령제어(C2)서버로 정보를 유출할 때 사용하는 컨텐츠 폼 데이터 부분의 User ID 코드도 100% 일치하는\r\n것을 확인할 수 있습니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 10 of 13\n\n[그림 11] 'star3.avi' 파일 코드(좌측)와 'battle32.avi' 파일 코드(우측)의 통신 데이터 비교 화면\r\n감염 신호를 C2 서버로 보낼 때, 배틀크루저 시점에는 ko-KR(한국어) 언어가 사용되었고, 스타크루저 공\r\n격에서는 en-US(영어) 언어가 사용되었습니다.\r\nhttp://blog.alyac.co.kr/1653\r\nPage 11 of 13\n\n[그림 12] 감염 악성코드가 명령제어(C2) 서버와 통신하는 신호 패킷\r\nhttp://blog.alyac.co.kr/1653\r\nPage 12 of 13\n\n■ '오퍼레이션 스타크루저' 위협 분석 결론\r\nESRC는 인텔리전스 위협 분석을 통해 최근 발생한 '오퍼레이션 스타 크루저' 공격 그룹이 현재까지도 한\r\n국의 암호화폐 분야에 속해 있는 주요 인사들을 대상으로 꾸준히 공격 시도하고 있는 정황을 확인했습니\r\n다.\r\n이번 조사를 통해 공격자들은 새로운 명령제어(C2) 서버를 은밀하고 지속적으로 구축하고 있으며, 추가적\r\n인 공격에 많은 시간과 노력을 기울이고 있다는 것도 파악하였습니다.\r\n또한, 2014년 미국 소니픽쳐스 대상 공격그룹의 활동이 현재 매우 활발하고, 정치적인 성향의 공격과 함께\r\n금전적인 수익을 위한 이른바 외화벌이 작전에도 적극적임을 알 수 있습니다.\r\n분석된 내용 중 일부 생략된 부분도 있지만, 국가기반의 후원을 받는 위협그룹은 다양한 분야에 걸쳐 공격\r\n을 수행하고 있다는 점을 명심해야 합니다.\r\n이스트시큐리티 시큐리티대응센터는 이와 유사한 공격에 대한 피해를 최소화하고, 보다 체계적인 위협\r\n인텔리전스 연구와 보안 모니터링을 강화하고 있습니다.\r\nSource: http://blog.alyac.co.kr/1653\r\nhttp://blog.alyac.co.kr/1653\r\nPage 13 of 13",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"ETDA"
	],
	"references": [
		"http://blog.alyac.co.kr/1653"
	],
	"report_names": [
		"1653"
	],
	"threat_actors": [
		{
			"id": "9b02c527-5077-489e-9a80-5d88947fddab",
			"created_at": "2022-10-25T16:07:24.103499Z",
			"updated_at": "2026-04-10T02:00:04.867181Z",
			"deleted_at": null,
			"main_name": "Reaper",
			"aliases": [
				"APT 37",
				"ATK 4",
				"Cerium",
				"Crooked Pisces",
				"G0067",
				"Geumseong121",
				"Group 123",
				"ITG10",
				"InkySquid",
				"Moldy Pisces",
				"Opal Sleet",
				"Operation Are You Happy?",
				"Operation Battle Cruiser",
				"Operation Black Banner",
				"Operation Daybreak",
				"Operation Dragon messenger",
				"Operation Erebus",
				"Operation Evil New Year",
				"Operation Evil New Year 2018",
				"Operation Fractured Block",
				"Operation Fractured Statue",
				"Operation FreeMilk",
				"Operation Golden Bird",
				"Operation Golden Time",
				"Operation High Expert",
				"Operation Holiday Wiper",
				"Operation Korean Sword",
				"Operation North Korean Human Right",
				"Operation Onezero",
				"Operation Rocket Man",
				"Operation SHROUDED#SLEEP",
				"Operation STARK#MULE",
				"Operation STIFF#BIZON",
				"Operation Spy Cloud",
				"Operation Star Cruiser",
				"Operation ToyBox Story",
				"Osmium",
				"Red Eyes",
				"Ricochet Chollima",
				"Ruby Sleet",
				"ScarCruft",
				"TA-RedAnt",
				"TEMP.Reaper",
				"Venus 121"
			],
			"source_name": "ETDA:Reaper",
			"tools": [
				"Agentemis",
				"BLUELIGHT",
				"Backdoor.APT.POORAIM",
				"CARROTBALL",
				"CARROTBAT",
				"CORALDECK",
				"Cobalt Strike",
				"CobaltStrike",
				"DOGCALL",
				"Erebus",
				"Exploit.APT.RICECURRY",
				"Final1stSpy",
				"Freenki Loader",
				"GELCAPSULE",
				"GOLDBACKDOOR",
				"GreezeBackdoor",
				"HAPPYWORK",
				"JinhoSpy",
				"KARAE",
				"KevDroid",
				"Konni",
				"MILKDROP",
				"N1stAgent",
				"NavRAT",
				"Nokki",
				"Oceansalt",
				"POORAIM",
				"PoohMilk",
				"PoohMilk Loader",
				"RICECURRY",
				"RUHAPPY",
				"RokRAT",
				"SHUTTERSPEED",
				"SLOWDRIFT",
				"SOUNDWAVE",
				"SYSCON",
				"Sanny",
				"ScarCruft",
				"StarCruft",
				"Syscon",
				"VeilShell",
				"WINERACK",
				"ZUMKONG",
				"cobeacon"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434700,
	"ts_updated_at": 1775792286,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a585cd9fe52eac6dfd8e1a1e8ef4d768d7b78680.pdf",
		"text": "https://archive.orkl.eu/a585cd9fe52eac6dfd8e1a1e8ef4d768d7b78680.txt",
		"img": "https://archive.orkl.eu/a585cd9fe52eac6dfd8e1a1e8ef4d768d7b78680.jpg"
	}
}