KB_202604.html.lnk 는 김수키(Kimsuky) 그룹이 KB 국민카드 사칭 악성코드로 배포하는 샘플로, 처음에는 한국 부산 해운대구의 link24 사이트를 악용해 단축 URL 을 생성하고 이를 통해 GitHub 과 구글 드라이브에서 악성코드를 다운로드해 실행하는 방식이다. 파일명은 KB_202604.html.lnk 이며 크기 약 1MB 이고 MD5, SHA 계열 해시가 제시된다. 악성코드 내부의 실행 흐름은 인코딩된 PowerShell 명령을 풀어 mshta.exe 를 이용해 외부 URL 의 컨텐츠를 실행하는 방식이며, 외부 다운로드 경로는 hxxps://link24(.)kr/AlmPeL4 이다. 실행되면 kb.zip 이 내려오는데, 압축파일처럼 보이나 메모장이나 편집기로 확인하면 실제로는 VBScript 로 구성되어 있다.
kb.zip 는 chr(...) 와 같은 난독화 기법으로 암호화되어 있으며 분석을 통해 해독 시 실체가 드러난다. 악성코드의 초기 동작은 %TEMP% 로의 파일 이동, 외부에서 KB_2026.html 다운로드(구글 드라이브) 후 실행, kb 국민카드 명세서로 위장한 파일 이름을 생성하는 단계이다. Windows Defender 상태를 확인해 방어가 비활성화되면 추가 악성 행위를 수행하고, Defender 가 꺼져 있으면 %LOCALAPPDATA% 로 이동해 확장자를 .txt 로 저장한 채 추가 다운로드를 실행한다. VBScript 를 이용한 curl 로드와 함께 여러 구글 드라이브 링크가 제시되고, 최종적으로 pipe.zip 를 받아 압축을 풀고 1.log, 2.log 를 생성한다.
1.log 분석 결과는 Base64 디코딩으로 구성되며 UUID 기반 시스템 정찰과 C2 통신 설정이 포함된다. 중복 실행 방지와 자기정리 로직이 있으며, 이미 감염 프로세스가 존재하면 종료한다. 샌드박스 및 가상환경 회피 기술이 적용되어 VMware, VirtualBox, QEMU, Xen, 클라우드 환경에서의 동작을 차단하도록 설계되어 있다. 업로드 함수는 핵심 파일을 즉시 전송하지 않고 EncryptFile 로 XOR 0xFE 를 적용해 8MB 단위로 나눠 전송하며, 전송 시 &ap=1 파라미터를 붙여 보안을 우회하는 구조다.
브라우저 탈취 모듈은 Edge, Chrome, Whale, Firefox 의 자격증명, 북마크, 확장 프로그램 정보를 수집하며 DPAPI 로 암호화된 브라우저 키의 복호화를 시도한다. 암호화폐 지갑 확장을 대량 수집해 지갑 이름과 확장 ID 매핑 데이터를 포함한 GetExWFile 로 전달한다. 메타마켓 계열 지갑과 함께 Telegram, Discord 데이터 탈취도 목표이며 Local Storage, IndexedDB 의 특정 파일들을 복사한다. 인증서 수집은 NPKI 와 GPKI 저장소를 겨냥하며, 시스템 정찰으로 OS 정보, CPU, 디스크, 설치 프로그램 목록 등을 수집해 info.txt 로 저장한다. 파일 인벤토리 확장자는 전체 드라이브를 대상으로 .txt .doc .docx .xls .xlsx .pdf 등으로 목록화한다.
최종적으로 자동실행 등록, 시스템 정찰, 최근 파일·브라우저·메신저·인증서·지갑 데이터 수집, 대용량 파일 업로드, 파일 목록 생성 및 업로드, 백그라운드 PowerShell 유지, 무한 루프를 통한 C2 명령 수신이 핵심 흐름이며 C2 도메인은 kflhfc(.)mailhubsec(.)com 이다. Run 키와 지속성 정보, 피해자 환경에 따른 상세 로그 기록 방식이 정의되어 있으며, 키로깅 및 클립보드 탈취, 활성 창 제목 기록 기능과 함께 실시간 입력 감지 및 창 정보, 클립보드 내용을 조합해 기록하는 구조가 특징이다. KB_2026.html 은 국민카드 명세서로 가장해 진입하지만 어떤 입력도 허용하지 않는 메시지로 비밀번호 재입력을 유도하는 흐름이 포함된다.
