북한 해킹 단체 김수키의 악성코드 노X정님.jse는 PebbleDash 플랫폼을 기반으로 제작되었고 자매 그룹인 Lazarus Group이 사용해 온 도구를 활용한다. 2021년부터 활로를 넓혀 왔으며 Kimsuky는 VSCode 터널링, Cloudflare Quick Tunnels, DWAgent, 대형 언어 모델, Rust 등 다양한 도구를 통해 공격을 수행하고 있다. 표적은 주로 한국의 공공 및 민간 부문으로, PebbleDash 클러스터는 전 세계 의료·군사·방위 산업에도 관심을 보였고 브라질과 한국의 방위 산업체, 독일의 한 방위 산업체를 공격한 사례가 확인된다.
JSE 드로퍼는 최소 두 개의 Base64 인코딩된 블롭을 포함하며 파일명은 노X정님.pdf.jse이고 크기는 약 56MB다. 내부 분석에서 JScript 기반 드로퍼의 구성 요소가 드러나고, 주요 변수는 Microsoft.XMLDOM 객체, Scripting.FileSystemObject, WScript.Shell, 저장 경로를 다루는 변수, Base64 디코딩용 XML 노드, 바이너리 저장용 ADODB.Stream 등으로 식별된다. 저장 경로로는 일반적으로 C:\ProgramData가 사용된다. 생성되는 파일명은 C:\ProgramData\ ve fIUW3km.s0L41 와 같은 형태로 나타난다.
초기 단계에서 Base64 디코딩과 저장이 이뤄지며, 디코딩된 이진 파일은 C:\ProgramData 아래에 저장되고 실행된다. 두 번째 페이로드 역시 같은 방식으로 처리되며, 두 번째 파일은 C:\ProgramData\ ve fIUW3km.s0L41 로 재저장 및 다시 디코딩된다. 각 단계의 흐름은 certutil을 이용한 추가 디코딩으로 연결되며, PowerShell과 함께 작동해 보안 경로를 우회한다.
외부 접속 명령은 실제로 암호화된 명령을 복원해 PowerShell, certutil, regsvr32, mshta 등을 통해 원격 서버와의 전송 및 후속 스크립트 실행으로 이어진다. 최종적으로 mshta를 통해 외부 URL에 접속하고, 공격자가 운영하는 서버에서 추가 스크립트를 내려받아 실행하는 구조가 확인된다. Dropped 파일로는 ve fIUW3km.s0L41, blSsr3Hei.wxt1z, 그리고 bdPzfn576QYES와 같은 파일이 관찰되며, 프로세스는 powershell.exe, certutil.exe, regsvr32.exe, mshta.exe가 함께 수행된다.
요약하면, Base64로 숨겨진 바이너리를 ProgramData에 저장한 뒤 순차적으로 디코딩하고 실행하는 다중 페이로드 구조이며, regsvr32와 mshta를 이용한 은폐·우회 방식이 특징이다. 외부 URL 접속을 통한 추가 악성 동작과 서버 연결이 최종 목표로 보이며, 향후 추가 분석을 통해 더 구체적 행태와 확산 경로를 확인하는 것이 필요하다.
