해당 악성코드는 북한의 김수키(Kimsuky) 그룹이 만든 것으로 5월 신고 납부기한 통지서.pdf.lnk 와 국세 고지서.pdf.lnk 이름으로 유포된다. MD5, SHA-1, SHA-256 해시값이 특정되어 있으며 PowerShell 을 이용해 Base64 로 인코딩된 부분을 해석하면 link24.kr 로 접속해 핵심 악성코드인 pdfko.zip 를 확보하는 흐름이 드러난다. Base64 디코딩 결과 MSHTA.EXE 를 악용해 외부 사이트로 연결되며, 압축으로 보이는 pdfko.zip 는 사실 VBScript 이다. 난독화를 풀면 구글 드라이브 다운로드 링크가 산재해 있으며, 구글 드라이브는 C2 로는 아니고 2 차 페이로드 저장소 역할을 하는 것으로 보인다.
분석 미끼로 제시되는 PDF 내용에서 url5~url4 의 네 개의 구글 드라이브 링크가 확인되며, 이들 중 일부는 그대로 다운로드를 유도한다. 실행 흐름은 미끼 PDF 다운로드 및 실행으로 시작되어 사용자가 정상 PDF 를 보는 것처럼 보이게 하는 디코이 동작이 포함된다. Windows Defender 상태를 확인하는 분기가 있어 Defender 가 STOPPED 상태일 때만 후속 악성 코드가 실행되도록 설계되었다. 추가 페이로드는 %localappdata% 경로에 다운로드되며 user.txt, sys.log 와 같은 파일이 생성된다.
PowerShell 로더 실행은 ExecutionPolicy 우회를 시도하고 창을 숨긴 상태에서 NoProfile 로 실행된다. 1.ps1 이 로드되면 다운로드된 스크립트가 실행되어 WScript.Shell 이 생성되고 Google Drive URL 이 복원되며 %temp% 폴더에 temp.pdf 가 다운로드되어 실행된다. 그 다음 sc query WinDefend 를 통해 Windows Defender STOPPED 여부를 확인하고, STOPPED 이면 추가 페이로드가 진행된다. 이후 %localappdata% 경로의 파일들에 의해 파이프 디렉터리로 옮겨진 뒤 PowerShell 이 Hidden + Bypass 형태로 다시 실행되며 1.log 또는 sys.log 내부의 페이로드를 처리한다. 핵심 요약은 WScript.Shell 생성, Google Drive URL 복원, 디코이 동작, Defender STOPPED 여부 확인, PowerShell 우회 실행, PDF 직접 실행까지의 일련의 흐름이다.
해당 파일을 직접 열어보면 “There was an error opening this document. The file is damaged and could not be repaired.” 같은 메시지가 나타나며, 구글 드라이브 기반의 다운로드 경로를 통해 추가 페이로드가 지속적으로 유입되는 구조로 마무리된다.
