북한 해킹 단체 김수키가 만든 악성코드로 추정되는 2026년 방위산업기술개발사업 최종평가위원회 위원 위촉 안내.pdf.lnk에는 방위산업기술개방 관련 탐지를 피하려는 의도가 의심된다. 파일명 자체가 방위산업기술개발사업 최종평가위원회 위원 위촉 안내로 보이도록 구성되어 있어 사용자에게 PDF로 위장된 LNK 문서를 실행하도록 유도한다.
분석에 따르면 악성코드는 PowerShell을 이용해 32비트 PowerShell을 SysWow64 경로에서 실행하고, 가짜 PDF 형태로 보이게 만들어 실제로는 LNK 문서임을 알아차리기 어렵게 한다. 주요 난독화 기법으로는 무의미한 주석 삽입과 주석 문자열 쪼개기 방식이 사용되며, 문자 결합을 통해 최종 명령어를 구성한다. 또한 와일드카드 패턴을 활용해 Get-Command를 검색하고, Get-ChildItem을 호출해 현재 디렉터리의 .lnk 파일을 탐색하는 흐름이 적용된다.
LNK 파일 탐색 로직은 현재 폴더에서 1,081,335 바이트 크기의 .lnk 파일을 찾는 것이 우선 조건이며, 실패 시 Temp 폴더로 재귀 탐색한다. 확장자 제거를 통해 복호화된 첫 번째 페이로드의 이름으로 저장하고, 사용자가 PDF로 오인하도록 이름을 유지함으로써 실행 가능한 페이로드를 만들려 한다. 내부 페이로드 추출은 한국 국방 연구원을 사칭한 PDF 내용을 포함하며, 오프셋과 구간 구성이 제시되어 있어 두 개의 페이로드가 순차적으로 실행되도록 설계되어 있다.
첫 번째 페이로드는 디스크에 기록된 후 실행되며, XOR 복호화가 적용된 페이로드로 구성된 실행 흐름이 PowerShell의 call operator를 통해 이어진다. 파일명은 한국어 포함 가능하며, 예를 들면 특정 이름으로 저장되더라도 확장자는 .lnk를 제거한 이름으로 바뀌며 실행된다. 두 번째 페이로드는 1,790바이트 크기의 Unicode 문자열로 해석되며, UTF-16LE 형식의 PowerShell 스크립트로 해석된다. XOR 0x52로 암호화된 데이터를 사용해 복호화하고, 실행 후 반환된 객체의 속성을 재차 실행하는 구조다.
복원 과정은 특정 크기의 .lnk 파일을 현 폴더에서 찾지 못하면 Temp 폴더에서 탐색하고, 두 데이터 블록을 읽어 XOR 0x52로 복호화한다. 그 다음 첫 번째 페이로드를 파일로 저장하고 실행하며, 원본 LNK를 삭제한 뒤 두 번째 페이로드를 PowerShell 스크립트로 실행한다. 결국 PDF처럼 보이도록 위장된 콘텐츠를 통해 방위산업 분야의 기밀 information에 접근하려는 의도가 강하게 드러난다. 따라서 의심된 유포 경로나 변형 방식에 대해 각별한 주의가 필요하다.
