일단 악성코드는 파워셀로 구성되어 있으며 PowerShell를 악용한 악성코드로 확인된다. 일관되게 Base64를 사용하고 있으며 CyberChef 등의 도구로 Base64를 디코딩하면 악성행위를 실행하는 파워셀 코드가 드러난다. commandlinearguments 안에 긴 Base64 문자열이 들어 있으며 이를 디코더로 해독해 %TEMP%에 숨김 상태로 저장된 뒤 실행되는 구조다. 디코딩된 스크립트는 GitHub Raw 저장소에서 PDF처럼 보이는 파일을 다운로드하도록 지시하며 다운로드 대상은 hxxps://raw.githubusercontent.com/airkanpang/bientianlp/main/mkgyhhuihfyjyufkuik.pdf 이다. 저장 위치는 %TEMP%\Update_251001 ACM Sakesan Kantha.pdf 로 설정되며 파일 실행 후 지속성 확보를 위해 작업 스케줄러에 등록한다. 이후 %APPDATA%에 PowerShell 스크립트를 하나 생성하고 %APPDATA%\dsgrklnboudfr.ps1 로 저장한다. 디코딩된 파일은 주기적으로 추가 페이로드를 다운로드하도록 작업 스케줄러에 등록되며 TaskName, Interval, Start 등의 설정이 명시돼 30분마다 반복 실행되도록 되어 있다.
추가 즉시 실행 페이로드도 존재하며 또 다른 파일이 내려받아 실행된다. 악성코드 실행 다운로드 URL은 hxxps://raw.githubusercontent.com/airkanpang/bientianlp/main/dsgrlnihdsfrg.txt 이고, 삭제는 악성코드에 포함된 문서로 처리된다. 업스케일링 IOC URL로 hxxps://raw.githubusercontent.com/airkanpang/bientianlp/main/mkgyhhuihfyjyufkuik.pdf 와 hxxps://raw.githubusercontent.com/airkanpang/bientianlp/main/sdgrnhoigrsdoinh.txt, hxxps://raw.githubusercontent.com/airkanpang/bientianlp/main/dsgrlnihdsfrg.txt 가 제시된다. 파일 경로는 %TEMP%\gdrtgdtghbthy.ps1, %TEMP%\Update_251001 ACM Sakesan Kantha.pdf, %APPDATA%\dsgrklnboudfr.ps1, %APPDATA%\grsdondrf.ps1, %APPDATA%\ms_update.ps1 같은 다수의 스크립트로 구성된다.
GitHub를 C2로 활용하는 점이 특징이며 Personal Access Token을 숨김으로 사용해 탐지를 어렵게 만든다. 파워셀 실행, 작업 스케줄러 지속성, 30분 주기 재감염 및 추가 페이로드 다운로드가 주요 동작으로 나타난다. 위 경로 파일 제거 및 PowerShell 실행 로그와 네트워크 접속 기록 확인이 권고되며, 의심 파일은 즉시 차단하고 시스템 전반의 보안 로그를 점검해야 한다. 요약 파일은 위장 아이콘이 Hangul Document로 돼 있지만 실제 행위는 PowerShell 명령 실행이며, 주요 목적은 GitHub raw URL에서 추가 페이로드를 다운로드해 실행하는 지속성 확보와 은닉에 있다.
