북한 해킹 단체인 김수키가 육군 K-ICTC를 노린 악성코드를 분석한 내용은 악성코드의 구성과 작동 흐름을 중심으로 정리된다. 파일명은 2026 4th K-ICTC Information.pdf.lnk 이고 크기는 약 1 MB로 확인되며, LNK를 통해 cmd.exe를 호출하는 방식으로 실행된다. 32비트 환경에서 SysWOW64 위치의 상대 경로를 활용해 실행되도록 설계되어 있으며, 콘솔 창을 의도적으로 작게 축소하는 창 숨기기 수법이 포함된 것으로 나타난다.
페이로드는 초기 실행에서 다운로드 동작을 수행하는 구조를 보이며, VBE 파일로 변환된 실행 파일이 뒤따라 실행된다. 내부적으로는 여러 단계의 난독화와 문자열 조합으로 WebClient 객체를 생성하고, 서버로부터 二차 스크립트를 받아와 해석하는 방식이 드러난다. getmac 명령의 실행 결과를 일부 잘라 URL의 매개변수로 활용하고, 이를 통해 피해자 네트워크의 식별 값을 서버에 전송하는 기능이 확인된다. 최종적으로 hxxp 형식의 URL이 조립되어 페이로드를 받아오는 방식으로 보이며, 다운로드된 명령은 PowerShell 명령으로 직접 실행될 수 있도록 구성된다.
또한 악성코드는 작업 스케줄러에 Chrome_Update라는 작업을 생성해 15분 간격으로 재실행되도록 설정하는 지속성 확보 수법을 사용한다. 하위 단계에서 다운로드된 명령과 스크립트의 조합은 LNK → cmd.exe → curl → VBE → PowerShell로 연결되며, 감염 호스트의 특정 정보와 함께 중복 감염 여부를 확인하는 기능도 포함된다. IOC로는 hxxp://103(.)67(.)196(.)25/conf.dat, hxxp://103(.)67(.)196(.)25/view1(.)php, C:\Users\Public\Music\ant.vbe 등이 제시된다.
PDF 내용으로 보면 대한민국 육군은 2026년 제4회 국제과학화전투경연대회를 개최할 예정이며 다자간 연합전투기량과 상호운용성 강화를 목표로 한다. 이번 대회는 마일즈 장비를 활용한 소부대 과학화전투훈련과 전력화 무기 시연도 계획돼 있으며, 참가 의사 회신과 관련한 일정이 언급된다. 이런 맥락 속에서 인터넷에 떠도는 특정 인물의 신상 정보 유출성 발언은 장난으로 보이며, 실제로는 제23 신병교육연대 관련 정보가 왜곡 유포된 것으로 보인다.
