정체를 알 수 없는 APT가 만든 악성코드로 추정되며 LG 쪽 탈취를 목표로 작용하는 것으로 보인다. 파일명은 AI_Auth_Token_202603.bat이며 크기는 약 1 MB, MD5는 2e6c90c88feb8a4cacdff126d0234129, SHA-1은 ac671e74d7ac7b26c7e33eb5a62d20d7695f4235, SHA-256은 621f852dba6e4657ccf7c27638c6840188718a4ea4894915028040a249eba4d4다. 데이터 수집 및 외부 유출을 담당하는 악성코드로 분석되며 PowerShell 코드를 포함해 시스템 정보와 사용자 데이터를 외부 서버로 전송하는 기능이 확인된다.
1) C2 서버 설정 및 초기 통신은 특정 서버 lpst.co.kr 를 지정하고 데이터 전송 대상임 curl로 조용히 접속해 출력은 숨기는 역할을 수행한다. 이는 감염 확인 또는 통신 테스트의 의미를 내포한다. 2) 파일명 기반 파라미터 생성으로 실행 파일 이름에서 일부 값을 추출해 URL에 포함시키며 캠페인 ID나 피해자 식별 용도로 활용해 감염 경로 추적 가능하도록 설계된다. 3) 핵심은 PowerShell 정보 수집으로, 시스템 정보와 사용자 데이터가 수집되어 외부로 전송되도록 구성된다. 수집 항목은 IP 주소, BIOS 시리얼, MAC 주소, CPU 정보, OS 이름, 시작 프로그램 목록(Run 레지스트리), 설치된 프로그램, 최근 실행 파일 목록, Wi-Fi 프로파일 목록 등이며 특정 확장자 파일명도 수집 대상에 포함된다. 파일 내용은 수집 대상이 아니나 파일 이름만으로도 유출 위험이 크다.
4) 수집된 데이터는 하나의 문자열로 결합한 뒤 URL 인코딩으로 GET 요청 방식으로 전송된다. 실행 시 연결되는 사이트는 공격적 동작의 하나로 의도되며 흔적 남김을 최소화하려는 목적이 있다. 5) 타이밍 및 흔적 제거 조치로 약 10초 대기 후 PowerShell, mshta를 강제 종료하는 행위가 은폐 및 분석 방해를 목적으로 수행된다. 6) 사회공학적 기법으로 LG AI Auth Token Verification 가짜 성공 메시지를 표시해 정상 알림으로 속이는 모습이 확인된다.
IOC 도메인은 www.lpst.co.kr 이고 경로는 /MET/runUpdate/action 문자열은 _isfp_이며 프로세스는 powershell.exe curl.exe mshta.exe이다. 해당 악성코드가 실행되면 보이는 웹사이트는 악성메일 모의 훈련을 안내하는 페이지로 구성되어 있으며 신고를 유도하는 구조로 설계된 것으로 보인다. 내부 변수처럼 보이는 trainingUserId 값 16373 등은 보안 훈련 시스템에서 열람자 구분에 활용될 가능성이 제시된다. 템플릿은 미완성 상태나 서버 변수 치환이 누락된 흔적이 남아 있으며 차단 업체로는 ALYac:Trojan.Agent.Drill과 Skyhigh(SWG):BehavesLike.DataStealer.xq로 분류된다. 백신으로 탐지되지 않는다는 점이 주의할 요소로 지적되며, 지속적인 관찰과 방어적 대응이 필요하다.
