북한 해킹 조직 김수키가 만든 악성코드로 지목된 "(대외보안)통일부_중동상황관련_정책간담회_기획안.pdf.lnk" 및 관련 파일은 반복 키 기반의 조건부 감산 난독화와 다단계 실행 흐름으로 구성된다. 초기 단계에서 키 문자열 KKswf&3H&를 UTF-8 바이트로 변환하고 각 바이트에 103을 더하는 방식이 사용되며, 특정 문자는 변형된 상태로 통과되도록 설계된다는 점이 특징이다. 미끼 파일명과 한국어 제목을 활용한 난독화로 한국어 바이트가 깨지지 않는 경우가 있어 의심을 유발한다. 복호화 결과는 디스크에 저장되며 즉시 실행된다.
1차 스테이지는 TEMP 디렉토리에 기존 미끼 PDF를 삭제하고 GitHub raw에서 povjrg.pdf를 다운로드해 악성코드의 핵심 실행 내용을 PDF처럼 보이도록 하고 APPDATA에 opifgrg.ps1을 생성한다. 이 ps1 내부에는 SqpbvjgrS.txt 다운로드 로직이 저장되며, 예약 작업으로 5분 후 시작해 이후 35분마다 opifgrg.ps1이 재실행된다. opifgrg.ps1은 qpjvKUHSvgf.ps1을 내려받아 실행하고 자기 삭제를 시도하는 구조를 가진다. 예약 작업명은 MicrosoftEdgeUpdateTaskMachineforce678{...} 등으로 위장된다.
2차 페이로드의 다운로드 구조는 1차 스크립트가 %APPDATA%에 SqpbvjgrS.txt를 받아 실행하는 방식으로 동작하며, SqpbvjgrS.txt는 확장자는 txt이나 실제로는 PowerShell 스크립트다. SqpbvjgrS.txt가 저장하는 추가 페이로드는 %APPDATA%에 qpjvKUHSvgf.ps1로 저장되고 실행된다. 지속성 확보를 위한 예약 작업이 생성되며 35분 간격으로 재실행된다. 이 과정에서 파일 경로로 dfvkuriguse.ps1, opifgrg.ps1, qpjvKUHSvgf.ps1가 언급되며, 악성코드는 PDFs 열림과 함께 백그라운드에서 추가 페이로드를 받아 실행하도록 설계되어 있다.
IOC를 보면 악성코드의 핵심은 미끼 PDF의 다운로드와 실행, 2차 페이로드의 지속적 다운로드 및 실행, 예약 작업을 통한 재실행, 그리고 자기 삭제 시도이다. PDF 내용은 대외 비공개로 표시된 통일부 정책간담회 기획안 형식으로 구성되어 신뢰를 유도하나, 분석에서는 PDF가 가짜임이 확인된다. 탐지로는 ESET-NOD32:LNK/Kimsuky.AA Trojan으로 보고되며, 기본 보안 수칙 준수와 파일 실행 주의가 권장된다. 이와 같은 공격은 문서 열람 순간 다운로드된 미끼 PDF를 보여 주면서 추가 페이로드를 받아 지속성을 확보하는 구조로 마무리된다. 마지막으로 적극적 차단과 함께 해당 예약 작업과 관련 파일을 제거하는 것이 완전한 제거의 핵심이라는 점이 강조된다.
