{ "id": "00efbd81-e91e-412f-8f5b-e05326160fee", "created_at": "2026-04-06T00:14:55.484461Z", "updated_at": "2026-04-10T03:37:40.711491Z", "deleted_at": null, "sha1_hash": "b34d56654548ccdd3b99ba53dfdffceede3d1735", "title": "Detailed Analysis of AlphaSeed, a new version of Kimsuky’s AppleSeed written in Golang", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 2935976, "plain_text": "Detailed Analysis of AlphaSeed, a new version of Kimsuky’s\r\nAppleSeed written in Golang\r\nBy S2W\r\nPublished: 2023-05-17 · Archived: 2026-04-05 15:28:01 UTC\r\nAuthor: BLKSMTH | S2W TALON\r\nLast Modified: May 17, 2023\r\nPress enter or click to view image in full size\r\nPhoto by Chinmay B on Unsplash\r\nExecutive Summary\r\n2023년 5월 경, S2W의 위협 연구 및 인텔리전스 센터 Talon은 Kimsuky 그룹의 새로운 악성코드로\r\n추정되는 샘플을 VirusTotal에서 헌팅하여 분석을 진행함\r\n헌팅된 악성코드는 네이버 로그인에 필요한 Cookie 값이 악성코드에 삽입되어있으며, Chrome\r\nDevtools 프로토콜을 사용하도록 서포팅하는 클라이언트 프로그램인 ChromeDP로 로그인을 수행\r\nS2W Talon은 해당 악성코드 내 “E:/Go_Project/src/alpha/naver_crawl_spy/”라는 경로명이 포함되어\r\n있다는 점에서 이 악성코드를 “AlphaSeed”으로 명명\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 1 of 16\n\n우리는 AlphaSeed가 Kimsuky 그룹이 기존에 사용하던 AppleSeed 악성코드의 Go 언어 버전으로 추\r\n정하고 있으며, 최근 Kimsuky 그룹이 Go 언어로 악성코드를 구현하고 있는 정황도 확인됨\r\n과거 Kimsuky 그룹은 아이디와 비밀번호를 악성코드에 삽입하여 메일 서비스로 명령을 전달하였\r\n는데, 아이디와 비밀번호 대신 쿠키값으로 로그인을 구현하였으며 이후 정보탈취 및 명령 수행 기\r\n능을 수행함\r\nAppleSeed 악성코드와 파일 암호화 방식, 메일 전송 쓰레드, 활용하는 메일함 이름 등 유사점이 존\r\n재하고, Kimsuky 그룹이 과거 NavRAT 이라는 악성코드로 네이버 메일을 활용한 명령전달을 수행\r\n한 이력이 존재한다는 점에서 Kimsuky 그룹이 AlphaSeed 악성코드의 배후 그룹일 것이라 High-Confidence로 평가함\r\nKimsuky 그룹이 Go언어를 통해 악성코드를 업데이트하고 있는 정황들이 발견되고 있기 때문에 주\r\n의가 필요\r\nIntroduction\r\n2023년 5월 6일, VirusTotal에서 확인된 샘플에서 Kimsuky 그룹의 새로운 악성코드로 추정되는 샘플이 발\r\n견되어 분석을 진행하였다. 해당 샘플은 다음(Daum)메일 서비스와 통신하여 악성행위를 수행하는\r\nAppleSeed 악성코드 와는 다르게 네이버 메일로 통신을 시도하며, 또한 Go 언어로 작성된 악성코드라는\r\n점에서 새로운 악성코드 유형으로 예상되었다.\r\nPress enter or click to view image in full size\r\n그림 1. VirusTotal 탐지 화면\r\n해당 악성코드는 VMProtect로 패킹되어 있으며, “E:/Go_Project/src/alpha/naver_crawl_spy/” 경로를 내부\r\n에 포함하고 있다. 이후 네이버 메일 서비스와 통신하여 정보탈취 및 명령 실행 등의 기능을 수행한다. 기\r\n존 Kimsuky 그룹은 아이디와 비밀번호로 네이버 메일 서비스에 로그인하는 방식을 사용했지만, 이번 악성\r\n코드에서는 네이버 로그인에 필요한 Cookie값을 이용해 Chrome Devtools 프로토콜을 사용하도록 서포팅\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 2 of 16\n\n하는 클라이언트 프로그램인 ChromeDP으로 로그인하는 방식을 사용한다. 이러한 방식의 변화는 C\u0026C 서\r\n버로 사용하는 메일계정 정보를 노출하지 않으려는 전략으로 추정되고 있다. 아이디와 패스워드가 확보\r\n되는 경우, 누구나 해당 계정으로 네이버 메일 서비스에 접속하여 모든 행위를 수행할 수 있지만, 쿠키 값\r\n을 통한 로그인의 경우 별도로 쿠키값을 위조하는 작업이 필요하다.\r\nPress enter or click to view image in full size\r\n그림 2. naver_crawl_spy 경로\r\n해당 악성코드는 Go언어로 작성되어 있어 기존 Kimsuky 그룹이 사용하는 악성코드와 코드 유사성 비교가\r\n확인하기 어려웠다. 또한, 분석 당시 악성코드가 사용하는 Cookie 값이 유효하지 않아 추가 악성행위가 식\r\n별되지 않았다. 하지만, 기존 Kimsuky 그룹의 AppleSeed 악성코드 유형 중 다음 메일을 C\u0026C서버로 사용하\r\n는 유형과 파일 암호화 방식, 메일 전송 쓰레드, 메일함 이름 등의 유사성이 존재한다는 점에서 Kimsuky 그\r\n룹의 새로운 악성코드로 추정하고 있다.\r\nGet S2W’s stories in your inbox\r\nJoin Medium for free to get updates from this writer.\r\nRemember me for faster sign in\r\nS2W의 위협 연구 및 인텔리전스 센터인 Talon은 해당 악성코드가 기존 AppleSeed 악성코드를 Go언어 버\r\n전으로 변경한 악성코드로 추정하고 있으며, “E:/Go_Project/src/alpha/naver_crawl_spy/”라는 경로명을\r\n사용하고 있다는 점에서 해당 악성코드 유형을 “AlphaSeed”으로 명명하였다.\r\nSample Information\r\n(Filename) powergmgmt.dat\r\n(MD5) 60308FA05380F183BF76F2ACFBE8E145\r\n(SHA-1) 57B248D18B9EE4106A5922A25EB03F7A9B637D42\r\n(SHA-256) F28D5CCDC79B0FCC02BE021435252F466A0C41786D9840E43A44EBDF821D3E95\r\nExecution flow\r\nGo언어로 작성된 AlphaSeed 악성코드는 네이버 메일로부터 명령을 받아 수행하며, 감염된 시스템의 정보\r\n를 수집 및 탈취 기능을 수행한다. 해당 악성코드는 다음과 같은 실행 과정을 보여준다.\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 3 of 16\n\n1. regsvr32.exe를 통해 실행되며, %USERPROFILE%\\ 경로에 작업 디렉토리(.edge)를 생성하고 자기 자\r\n신을 복제 및 로드\r\n2. 로드된 악성 DLL은 키로깅, 스크린 캡처 등 감염된 시스템의 정보를 수집\r\n3. 악성 DLL 내부에 존재하는 Cookie 값을 이용하여 네이버 메일 로그인 후, Ping 메일 전송\r\n4. 메일에 존재하는 명령 전달용 Command 메일을 읽어와 명령 실행\r\nPress enter or click to view image in full size\r\n그림 3. AlphaSeed 프로세스\r\nStage 1. Malicious DLL\r\n1. Create directory \u0026 copy itself\r\n실행시 가장 먼저 특정 경로에 작업 디렉토리를 생성하고 및 작업 경로로 지정한다. 이후 자기 자신을 해\r\n당 경로에 복사한다.\r\n생성 경로: %USERPROFILE%\\.edge\r\nPress enter or click to view image in full size\r\n그림 4. .edge 디렉토리\r\n2. Execution method check\r\n현재 프로세스가 EXE 인지 체크한다. EXE 파일 일 경우, 작업 디렉토리에 schtaskw.exe 파일명으로 복사\r\n및 실행하고, 아닐 경우 powermgmt.dat 파일로 복사한 후 regsvr32.exe로 로드한다. 이는 공격자가 DLL 파\r\n일 타입 외에도 EXE 파일 타입으로도 해당 악성코드를 실행할 수 있다는 것을 시사한다.\r\nEXE 일 경우, %USERPROFILE%\\.edge\\schtaskw.exe\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 4 of 16\n\nEXE가 아닐 경우, regsvr32.exe /s “%USERPROFILE%\\.edge\\powermgmt.dat”\r\n3. Autorun with Registry\r\n이후 부팅 시 항상 자동으로 악성코드가 실행되도록 “MS_SecSvc” 라는 이름으로 레지스트리에 등록한다.\r\nRegistry Path: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\r\nKey: MS_SecSvc\r\nValue: regsvr32.exe /s “%USERPROFILE%\\.edge\\powermgmt.dat”” /t REG_SZ /v “MS_SecSvc” /f\r\nPress enter or click to view image in full size\r\n그림 5. 자동실행 등록 레지스트리\r\n4. Self-deletion\r\n자가삭제 기능을 수행하기 위해 BAT 파일을 생성하여 실행한다. 총 2개의 BAT 파일을 생성하는데, 원본\r\nDLL 파일을 삭제하는 BAT 파일과, 이 BAT 파일을 삭제하는 별도의 BAT 파일을 생성한다.\r\nBAT file: %USERPROFILE%\\.edge\\tmp[time_calulate].bat\r\nBAT file 2: %USERPROFILE%\\.edge\\tmp[time_calulate].bat\r\nPress enter or click to view image in full size\r\n표 1. 자가삭제 BAT 파일\r\n5. Reload DLL\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 5 of 16\n\n실행된 원본 파일이 powermgmt.dat 파일인지 확인하고 아닐 경우, regsvr32.exe를 통해 로드 후 종료한다.\r\n실제 악성 기능은 로드된 powermgmt.dat 파일을 통해 수행된다.\r\nCommand Line : regsvr32.exe /s %USERPROFILE%\\.edge\\powermgmt.dat\r\nStage 2. powermgmt.dat\r\n1. Struct Initialization\r\nStage 2가 실행되면, 악성행위에 필요한 “agent_Agent” 구조체를 초기화한다. 이 구조체는 악성행위 실행\r\n시 참고된다.\r\nPress enter or click to view image in full size\r\n표 2. agent_Agent 구조체\r\n2. File Encryption \u0026 Data Decryption\r\n감염된 시스템으로부터 탈취한 파일에 대하여 암호화를 수행하거나, 공격자 메일로부터 받은 명령을 복\r\n호화할 때 RC4와 RSA 알고리즘이 사용된다. 악성코드는 랜덤하게 RC4 Key를 생성하고, 내부에 존재하는\r\nParsePKCS1PublicKey 함수를 통해 암호화를 위한 Public Key를 생성한다. 이후, Public Key를 통해 RC4\r\nKey를 암호화한다. 공격자 메일로부터 받은 명령 또한 암호화되어 있는데, 이 데이터는 악성코드 내부에\r\n존재하는 별도의 Private Key를 통해 RSA를 복호화하여 RC4 Key를 획득하고, 이후 획득한 RC4 Key로 데\r\n이터를 복호화한다.\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 6 of 16\n\nPress enter or click to view image in full size\r\n그림 6. 파일 암호화 \u0026 복호화 프로세스\r\n3. Collect data from infected machine\r\n감염된 시스템의 정보를 탈취하기 위해 3개의 함수를 GoRoutine을 통해 호출한다. 각각의 함수는 키로깅,\r\n스크린샷, 재시작과 같은 기능을 수행한다.\r\nPress enter or click to view image in full size\r\n표 3. Function List\r\ngoKeylog 함수에서는 감염된 시스템에 입력되는 키 입력 데이터를 작업 디렉토리 하위에 cache_w.db 파일\r\n로 저장한다. 이후, 파일을 암호화하고, 네이버 메일을 통해 전송한다.\r\nKeylogging filepath: %USERPROFILE%\\.edge\\cache_w.db\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 7 of 16\n\n그림 7. cache_w.db 키로깅 데이터\r\ngoSshot에서는 감염된 시스템의 현재 데스크탑 화면을 캡쳐하여 파일로 저장한다. 데스크탑 화면 캡쳐를\r\n위해 Github에 공개된 “kbinani”의 screenshot 패키지를 사용한다.\r\nScreenshot filepath: %USERPROFILE%\\.memdmp\\{Timestatmp}_0\r\n참고자료: https://github.com/kbinani/screenshot\r\nPress enter or click to view image in full size\r\n그림 8. ScreenShot 데이터\r\n4. C\u0026C communication initializing using Naver Mail\r\nAlphaSeed 악성코드는 네이버 로그인에 필요한 별도의 아이디와 패스워드 대신, 유효한 Cookie 값을 이용\r\n해 로그인하는 방식을 사용하고 있다. 이는 Infostealer 악성코드로부터 탈취된 쿠키값을 이용하여 계정을\r\n탈취하는 방식과 동일한 방식으로 볼 수 있다. 이후 로그인에 성공하면, 네이버 메일 서비스에 접근하여\r\n정보 탈취 및 명령 전달을 수행한다.\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 8 of 16\n\n그림 9. ChromeDP를 통한 네이버 메일 통신 프로세스\r\nPress enter or click to view image in full size\r\n그림 10. 악성코드 내 네이버 Cookie 데이터\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 9 of 16\n\n공격자는 쿠키값을 이용하여 계정에 로그인하기 위해 오픈소스로 chromedp를 사용한다. Chromedp는 디\r\n버깅, 컨텐츠 검사 등 다양한 기능을 수행할 수 있는 Chrome Devtools 프로토콜을 서포팅하는 클라이언트\r\n프로그램이다.\r\n참고자료: https://github.com/chromedp/chromedp\r\nPress enter or click to view image in full size\r\n그림 11. ChromeDP\r\n네이버 메일과 상호작용을 수행하기 위해 패킷 통신을 수행하는 방식이 아닌, chromedp라는 중간 매개체\r\n를 이용하여 악성 행위를 위한 스크립트를 실행하는 방식을 사용한다. AlphaSeed는 해당 방식을 통해 특정\r\n버튼을 클릭하거나 메일을 작성하여 전송하는 기능을 수행한다.\r\nPress enter or click to view image in full size\r\n그림 12. ChromeDP를 통해 실행되는 스크립트\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 10 of 16\n\n그림 13. 프로세스 실행 트리\r\nCookie 값을 통해 네이버 로그인 후, 네이버 메일함 중 내게쓴메일함을 이용하여 데이터를 주고 받는다. 내\r\n게쓴메일함 내에 특정 이름을 가진 메일함 정보를 가져와 확인하며, 이후 목적에 맞는 메일함을 사용하여\r\n탈취한 정보 및 명령 수행에 사용한다.\r\nPress enter or click to view image in full size\r\n표 4. Mailbox List\r\nping\r\n악성코드 내에는 감염자 정보를 수집하는 ping 기능이 존재한다. 감염자를 식별하기 위한 uid 및 감염된 환\r\n경 정보, 감염 당시 시간을 Zlib를 통해 압축한 후 Base64로 인코딩한 데이터 메일 제목으로 사용하여 전송\r\n한다. 이후, 공격자는 ping 메일 제목으로 사용된 값을 추출하여 감염자 식별 및 명령 전송에 사용한다.\r\n{“uid”:”886xxxxxxxxxx”,”platform”:”windows amd64\",”ver”:\r\n{“major”:1,”minor”:2,”build”:0},”time”:1683982504982}\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 11 of 16\n\n그림 14. Ping 전송 예시 (테스트 메일 화면)\r\nCommand\r\nCmd 메일함에 저장된 명령 메일을 읽어와 악성 행위를 수행한다. Cmd 메일함에 존재하는 메일 중에서\r\nPing 메일내 포함된 감염자의 고유 값(uid)이 제목에 포함된 메일 정보를 가져온다. 메일 내 데이터를\r\nAlphaSeed 내 RSA Private Key로 복호화하고, RC4 Key를 확보한다. 이후 RC4 Key로 데이터를 복호화하여\r\n명령을 추출한다. 추출된 명령 코드에 따라 다음과 같은 악성행위를 수행한다.\r\nPress enter or click to view image in full size\r\n표 5. Command 별 악성행위\r\n5. Exfiltrate collected data to Naver Mail\r\n감염된 시스템에서 수집한 정보를 각각의 메일함으로 전송한다.\r\nPress enter or click to view image in full size\r\n표 6. 탈취 정보별 전송 메일함\r\n공격자는 메일 제목과 본문에 모두 데이터를 포함시켜 전송하지만, AlphaSeed의 실제 통신을 그대로 구현\r\n한 결과, 그 부분이 제대로 동작하지 않아 메일 제목에만 데이터가 입력된 점이 확인되었다. 이러한 특징\r\n은 아직 AlphaSeed의 기능 구현이 완성되지 않았다는 점을 제시한다.\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 12 of 16\n\n그림 15. 키로깅 정보 전송 메일 (테스트 메일 화면)\r\nSuspected attacker’s account\r\nAlphaSeed 악성코드가 메일 전송 관련 URL을 조합할 때 유저명으로 추정되는 네이버 계정을 발견할 수 있\r\n었다. 분석 당시 악성코드 내 Cookie값이 유효하지는 않았지만, VirusTotal 업로드 당시 해당 계정으로 로그\r\n인 후, 메일 전송까지 정상적으로 수행한 것으로 추정되는 통신 기록이 발견되었다.\r\n공격자 의심 계정: moj124578\r\nPress enter or click to view image in full size\r\n그림 16. 악성코드 내 메일 주소\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 13 of 16\n\n그림 17. 악성코드 통신 이력\r\n해당 네이버 계정이 실제로 존재하는 계정이며, 블로그 페이지 또한 존재하는 점까지 확인되었다. 하지만,\r\n해당 계정이 공격자의 계정인지 탈취한 계정을 악용하는 것인지는 확인되지 않았다.\r\nPress enter or click to view image in full size\r\n그림 18. 악성코드 내 존재한 메일 관련 블로그\r\nAttribution\r\nAlphaSeed는 Go언어로 작성되었다는 점에서 기존 Kimsuky 그룹의 악성코드와 코드 유사성은 식별되지\r\n않았지만, AppleSeed 악성코드와 유사한 기능이 상당수 확인되었다는 점에서 S2W에서는 Kimsuky 그룹의\r\n악성코드로 식별하였다. 다음 메일을 C\u0026C 서버로 사용하는 AppleSeed 악성코드에 대한 설명은 아래에서\r\n도 확인이 가능하다.\r\n참고자료: Kimsuky 그룹의 APT 공격 분석 보고서 (AppleSeed, PebbleDash)\r\n다음 메일을 C\u0026C 서버로 사용하는 AppleSeed 악성코드에서도 감염된 시스템의 정보를 메일로 전송하는\r\nPing 기능과 공격자로부터 명령을 받아 실행하는 Command 기능이 존재한다. 과거 AppleSeed 케이스에서\r\n는 SMTP와 IMAPS 프로토콜을 이용해 메일을 전송했다면, 이번 AlphaSeed 케이스의 경우 ChromeDP를\r\n이용해 직접 메일을 전송하는 차이점이 존재한다. 또한, 다음 메일을 통해 명령을 받는 Command 기능을\r\n수행할때 “cmd” 메일함 이름을 사용한다는 점이 이번 케이스와 동일한 특징으로 보인다.\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 14 of 16\n\n그림 19. 과거 AppleSeed 통신 쓰레드 (출처: AhnLab)\r\n명령 실행 과정에서도 AppleSeed 와의 공통점이 확인되었다. 두 악성코드 모두 공격자로부터 명령 데이터\r\n를 받은 후 RSA Private Key를 통해 RC4 Key를 추출하고, 이후 RC4 Key로 명령 데이터를 추출한 뒤 악성\r\n행위를 수행한다. 기존 AppleSeed에서는 3개의 명령이 확인되었지만, AlphaSeed 내에는 5개의 명령이 확\r\n인되었다는 점에서 기능상의 업데이트도 함께 이루어진 것으로 확인된다.\r\nPress enter or click to view image in full size\r\n표 7. AppleSeed와 AlphaSeed 명령 비교\r\n추가로, 최근 AhnLab은 Kimsuky 그룹이 Go언어로 작성된 악성코드를 이용해 Meterpreter를 로드하고 최종\r\n적으로 Go언어로 작성된 Proxy 악성코드를 사용하였다는 내용을 공개하였는데, Kimsuky 그룹이 과거\r\nAppleSeed 악성코드 감염 이후 Meterpreter를 설치했던 사례들도 확인되었던만큼 Kimsuky이 최근 악성코\r\n드를 Go 언어로 제작하려는 움직임이 보이고 있다.\r\n참고자료: Meterpreter를 이용해 웹 서버를 공격하는 Kimsuky 그룹\r\nConclusion\r\nAlphaSeed 악성코드는 AppleSeed 악성코드와 파일 암호화 방식, 메일 전송 쓰레드, 메일함 이름 등\r\n과 유사하다는 점에서 AppleSeed 악성코드를 기반으로 제작된 것으로 확인됨\r\nKimsuky 그룹은 기존 AppleSeed 악성코드를 Go언어로 변경하려는 것으로 보이며, 이 과정에서 일\r\n부 기능도 업데이트도 된 것으로 확인되었으나 아직 기능이 완벽하게 구현된 것으로 보이지는 않음\r\n기존 아이디와 비밀번호를 활용한 전통적인 로그인 방식에서 Cookie값을 이용한 방식으로 메일 서\r\n비스를 활용하는 방식으로 전략이 변경됨\r\n과거 모바일 버전의 AppleSeed 악성코드도 발견되었던 만큼, Go언어 버전으로 제작할만큼 Kimsuky\r\n그룹이 주력 악성코드로 AppleSeed를 사용하다는 사실을 확인할 수 있음\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 15 of 16\n\nKimsuky 그룹이 기존 악성코드를 Go언어로 변경하려는 정황들이 확인되고 있다는 점에서, 이에 대\r\n한 대비가 필요함\r\nIoC\r\nf28d5ccdc79b0fcc02be021435252f466a0c41786d9840e43a44ebdf821d3e95\r\nf78b3c0ccaa02b4b159b36557f6b99a9800bccdb2bd86f655f642a2097362026\r\n98916e83b272f5ead73412a5765e1cf1225873c7b0cf0b5e94a341e65451d652\r\n37ea9dba7ab6465f4d82c1af38a27339db9bf81ded74299fd6e5075e126b732a\r\n5aa1cc14a82db34269de7778536c893ae177345172f70478b4093fa0451744c8\r\neb55211ca3b233555397cecf32ac0a86ec85983a1fd1f50bb04d727dddf6b1ec\r\nATT\u0026CK Matrix\r\nPersistence\r\nBoot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001)\r\nDefense Evasion\r\nSystem Binary Proxy Execution: Regsvr32 (T1218.010)\r\nCollection\r\nInput Capture: Keylogging (T1056.001)\r\nScreen Capture (T1113)\r\nArchive Collected Data (T1560)\r\nExfiltration\r\nExfiltration Over Web Service (T1567)\r\nSource: https://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a\r\nPage 16 of 16\n\nhttps://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a \n그림 9. ChromeDP를 통한 네이버 메일 통신 프로세스\nPress enter or click to view image in full size \n그림 10. 악성코드 내 네이버 Cookie 데이터 \n Page 9 of 16", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "references": [ "https://medium.com/s2wblog/detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a" ], "report_names": [ "detailed-analysis-of-alphaseed-a-new-version-of-kimsukys-appleseed-written-in-golang-2c885cce352a" ], "threat_actors": [ { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434495, "ts_updated_at": 1775792260, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/b34d56654548ccdd3b99ba53dfdffceede3d1735.pdf", "text": "https://archive.orkl.eu/b34d56654548ccdd3b99ba53dfdffceede3d1735.txt", "img": "https://archive.orkl.eu/b34d56654548ccdd3b99ba53dfdffceede3d1735.jpg" } }