북한 해킹 단체 김수키가 제작한 악성코드 파동에너지 이론 2026년 5월 개정판.lnk 은 차트 기반의 투자 분석서를 미끼로 삼아 악성코드를 배포하는 방식을 보인다. 파일 내부에는 PDF 미끼 문서와 2차 PowerShell 스크립트를 생성·실행하는 구조가 담겨 있으며, 파동에너지 이론이라는 이름 아래 이식된 데이터는 XOR로 난독화되어 있다. 분석에서 주목되는 지점은 0x22 부분의 XOR 해독으로 이어지는 파이프라인이다. 악성코드는 PowerShell 창을 숨김으로 실행하고, lnk 파일 자체에 포함된 데이터를 기반으로 2차 실행 파일을 만든다.
가상 환경 우회를 위한 여러 코드를 포함하고 있으며 VMware, VirtualBox, IDA, x64dbg, dnSpy, Procmon, Wireshark 등 분석 도구의 탐지 및 차단을 시도한다. 또한 작업 스케줄러에 Loopless Winder Silk 같은 이름의 예약 작업을 생성하고, 이미 존재하면 해당 예약 작업의 Description 값을 재사용하는 방식으로 지속성을 확보한다. TEMP 폴더에 랜덤 폴더를 만들어 .ps1 과 .vbs 파일을 생성하고, VBS가 PowerShell을 숨김으로 실행되도록 구성한다.
예약 작업의 실행은 wscript.exe를 경유해 VBS를 실행하고, 이후 PowerShell이 은닉된 채로 반복 실행된다. 난독화된 코드의 지속성 기법과 함께 C2 도메인 aplore.kesug.com 일대를 활용한 초기 연결이 관여한다. 메인 페이지를 호출한 뒤 자바스크립트 챌린지를 변조하고 cscript로 암호화된 스크립트를 실행해 결과를 얻어 쿠키 값을 조작한다. 쿠키 이름은 __test 로 식별되며, 서버는 자바스크립트 실행 가능 여부를 확인한다.
시스템 정보 수집은 Win32_ComputerSystem, Win32_OperatingSystem, Win32_Process 등을 대상으로 진행되며, 하드웨어, 운영체제, 전체 프로세스 목록을 수집해 분석 도구나 업무용 소프트웨어를 식별한다. 수집된 데이터는 POST 방식으로 C2 서버(aplore.kesug.com 등)로 전송되고, 감사 로그나 경로 정보를 포함하는 감염 경로를 남긴다. 추가 페이로드는 리소스 URL에서 다운로드되며, 로더 시스템은 airbe.txt 같은 파일을 통해 차후 명령과 페이로드를 전달한다. 결국 투자 관련 서적 PDFs를 활용한 사회공학적 유혹과 함께 악성코드가 실행되도록 설계된 정교한 지속성과 정보 수집, C2 통신 구조를 모두 포함하는 고도화된 공격으로 해석된다.
