북한 해킹 집단 김수키가 한국 바이낸스 사용자들을 노리기 위한 악성코드로 BN_FIU_2026.chm를 배포한 정황이 분석되었다. 파일명은 BN_FIU_2026.chm, 크기 약 1MB이며 MD5, SHA 계열 해시값이 함께 공개되지만 실제 기능은 CHM 파일로 위장한 악성 도움말 파일이다. 악성코드의 특징은 윈도우 도움말 문서처럼 가장해 실행 흐름을 은닉하고, Base64 인코딩을 반복적으로 활용하는 점이다. 분석에 따르면 악성코드는 실행 시 PowerShell 명령과 ActiveX를 이용해 Base64 데이터를 링크 디렉터리 아래 Link.dat 와 Link.ini로 저장하고, certutil 명령으로 Base64를 VBScript 코드로 복원한 뒤 wscript.exe로 조용히 실행한다.
Base64 디코딩 결과로 얻은 VBScript는 HTTP 통신 객체를 생성하는 Microsoft XMLHTTP COM 객체를 통해 원격 서버에 접속한다. 요청 주소는 hxxp://update.nstlog.store/binan_woo/bootservice.php이며, 파라미터로는 tag=<랜덤 숫자>를 사용한다. 서버 응답을 수신하면 악성코드가 즉시 실행되며, 서버가 전달하는 VBScript 코드의 내용은 어떤 것이든 그대로 실행된다. 실행 과정에서 PowerShell 창이 숨겨지는 특징이 있어 탐지가 어렵고, 일정 시간마다 작업 스케줄러에 등록되어 재실행되기도 한다.
또한 악성코드가 생성하는 화면과 파일의 내용은 자금출처 확인 요청서를 가장한 피싱 요소를 포함한다. 요청서는 특정 트랜잭션의 자금출처 증빙 자료를 제출하도록 안내하며, 실제로는 가짜 문서로 구성되어 있다. 요청서에는 이더리움과 솔라나 계열의 트랜잭션 정보가 예시로 기재되고, 제출 기한과 함께 자금출처 자료의 구체적 목록이 안내된다. 본문에는 Binance 준법감시팀과 FIU 규정에 따른 공식 요청으로 기재되지만, 해당 부분은 거짓일 가능성이 크다. 의도는 사용자의 금융정보를 탈취하거나 피싱을 통해 추가 피해를 유발하는 것이다.
