해당 글은 북한 해킹 단체인 Kimsuky가 만든 악성코드가 2026년 한국 에너지 기술개발산업 최종 평가 위원회 관련 첨부 자료로 작동하도록 설계되었다는 분석을 중심으로 전개된다. 악성코드의 파일명은 특정한 이름 형식으로 구성되어 있으며 .lnk 파일 크기가 0x000C5C0E인 바이트 규모로 탐지된다. 먼저 현재 폴더에서 찾고 없으면 사용자 프로필의 AppData Local Temp 아래에서도 재검색하는 방식으로 다중 경로를 시도한다. 내부에는 숨겨진 데이터가 있으며 .lnk를 직접 열어 바이너리처럼 특정 위치의 데이터를 읽어 들이는 구조가 확인된다. 시작 오프셋은 0x18A8 이고 읽는 길이는 0xC1A71 이다.
추출된 바이트 배열은 XOR 연산으로 복호화되며, 코드상 FastXor 클래스로 묘사되지만 실제 동작은 모든 바이트를 고정 값 0x7F로 XOR 하는 방식으로 구현된다. 복호화된 데이터는 .lnk 확장자를 제거한 이름으로 저장 후 즉시 실행되며 예시로 1.lnk가 1으로 파일명이 바뀌는 형식이 언급된다. 원본 .lnk 파일은 강제로 삭제된다. 그 다음 단계로 추가 페이로드가 다운로드되어 실행 환경이 확장된다.
두 개의 파일이 C:\Users\Public\ Videos 폴더로 내려받아지는 흐름이 확인되며 AutoIt3.exe 와 pJtsLyQ.pdf가 그 대상으로 제시된다. pJtsLyQ.pdf는 외형상 PDF처럼 보이지만 실제로는 AutoIt로 실행될 대상이며 다운로드 URL은 암시적으로 제시된다. 작업 스케줄러를 이용해 지속성을 확보하는 구성도 드러난다. 작업 이름은 pJtsLyQ 이고 시작 시점은 1분 후, 반복 간격은 1분, 지속 기간은 365일로 설정되며 실행 명령으로 AutoIt3.exe 와 pJtsLyQ.pdf가 등록된다. 작업 스케줄러의 상세 정보에는 대상 파일 경로와 내부 추출 정보의 .lnk 크기, 오프셋, 길이, XOR 키가 기술된다.
IOC로는 2026년 한국 에너지 기술개발산업 최종 평가 위원회 PDF 내용이 네트워크 주소로 제시되며 특정 도메인과 경로가 반복된다. 파일 경로는 C:\Users\Public\Videos에 위치한 AutoIt3.exe 와 pJtsLyQ.pdf 이고, 작업 스케줄러의 작동 내용은 pJtsLyQ에 대한 설명과 함께 내부 추출 정보로 연결된다. PDF 내용으로는 한국에너지기술평가원(KETEP)에서 발송한 2026년 에너지기술개발사업 최종평가위원회 위원 위촉 안내 공문으로 보이는 서술이 제시되지만, 이 공문의 사실 여부는 판단이 필요하다는 점이 강조된다.
한국에너지기술평가원은 산업통상자원부 산하의 위탁집행형 준정부기관으로 알려져 있다. 다만 해당 공문의 진위 여부는 본문에 의하면 개인적으로 확인되지 않는 상황이므로 주의가 필요하다. 주요 내용으로는 현장실태조사 안내와 평가위원회 개최 안내가 제시되며, 과제명과 주관기관, 일시, 평가 방식, 평가 대상, 진행 방식 등의 세부 항목이 기술된다. 이처럼 악성코드와 합성된 문서가 결합되어 위원회 관련 정보를 가장해 지속성 있는 악성 행위를 시도하는 구조가 관찰된다. 따라서 의심스러운 파일과 링크는 첨부된 맥락과 함께 신중히 점검해야 한다.
