상세 컨텐츠
본문
“귀하의 저작권 침해가 확인되었습니다.” 한 줄로 시작되는 이메일이 최근 기업 담당자들의 수신함에 자주 들어오고 있습니다.
겉으로는 법적 경고처럼 보이지만, 실제로는 피싱 공격의 출발점입니다. 이스트시큐리티 대응센터(ESRC)는 이 캠페인을 1년 넘게 추적해 왔으며, 그 과정에서 공격 방식이 여러 단계로 바뀌는 것을 확인했습니다.
초기에는 GitHub, Dropbox 같은 신뢰받는 서비스를 이용해 악성 모듈을 내려받는 방식으로 시작되었지만, 이후 정상 서명된 실행 파일을 이용한 DLL 사이드로딩, Telegram Bot과 URL 단축 서비스, paste 사이트를 거치는 다단계 페이로드 체인이 등장했습니다. 유포 주제도 저작권 및 법률 내용에서 비즈니스 제안, 채용, AI 영상 도구 등으로 넓어졌고, 한국어와 영어를 넘어 30개 이상 언어로 작성된 피싱 파일이 수집되었습니다.
이 캠페인의 배후는 베트남 국가의 위협행위자로 이스트시큐리티는 해당 위협행위자를 ‘LoneNone’으로, Python 과 다단계 C2 체인의 특징을 바탕으로 ‘PyChain’ 캠페인으로 명명했습니다.
해당 포스트에서는 LoneNone 위협행위자의 최근 위협사례를 분석하고, PyChain 캠페인의 진화 과정을 7개 Operation로 분류하고 기술적 특성을 정리하였습니다.
최근 위협 사례 분석
1) 개요 및 실행 흐름
최근 발견된 동일 위협행위자의 위협 이메일은 "저작권 침해" 관련 내용을 여전히 사용하고 있습니다. 이메일 본문에는 위반 내용 확인·법적 조치 안내 등을 이유로 PDF 또는 문서 링크가 포함되어 있으며, 수신자가 해당 링크를 클릭하면 외부로부터 ZIP 파일이 다운로드 됩니다. 사용자가 다운로드한 ZIP을 압축 해제한 뒤 내부에 포함된 실행 파일(EXE 등)을 직접 실행함으로써 공격이 시작됩니다.
즉, 초기 침투는 이메일 → 링크 클릭 → ZIP 다운로드 → 압축 해제 및 내부 파일 실행의 단계로 이루어지며, 사용자 실행 시점 이후에는 DLL 사이드로딩을 통한 1차 로더 실행, C2에서의 2차 페이로드 다운로드, Telegram 및 urlvanish.com을 이용한 2차 C2 통신이 이어집니다.
2) 상세 코드 분석
2-1) 초기 침투 파일
피싱 이메일을 통해 다운로드 받은 ZIP파일의 파일 목록은 다음과 같고, 조사에서 확인된 결과.exe 파일을 제외한 모든 파일은 숨김 옵션이 설정되어 있습니다.
압축 파일에 포함된 “조사에서 확인된 결과.exe” 파일은 PDF 문서로 위장한 EXE 파일로, 정상 Adobe 파일(ADNotificationManager.exe)입니다. 해당 파일 실행 시 동일 경로에 숨겨진 DLL이 사이드로딩으로 동작됩니다.
로드된 DLL중 urlmon.dll은 다음과 같은 명령어를 통해 “Invoice.pdf” 파일을 다운로드를 진행합니다. 다운로드된 파일은 암호화된 RAR 압축 파일이며, “부가가치세 영수증.jpg”(정상 WinRAR.exe) 파일을 이용해서 “C:\Users\Public”폴더에 압축을 해제합니다. 이때 압축 해제 암호는 “GSE3yM1tHno0DdW9BmIsSW9pnINo36ZZ” 이며, 이후 “Invoice.pdf”, “부가가치세 영수증.jpg” 두 파일을 삭제해 흔적을 지우고, “Invoice.pdf” 내 “svchost.exe” 파일을 이용해 “py.ico” 파일을 실행합니다.
“Invoice.pdf” 파일은 Python 버전 3.10의 런타임 및 악성 스크립트를 포함하고 있으며, 정상 “python.exe” 파일을 “svchost.exe” 로 위장하여 py.ico(악성 스크립트)를 실행합니다. 실행 시 “MRB_2_NEW_VER_BOT” 값을 실행 인자로 사용합니다.
2.2) 추가 다운로드 파일
py.ico 파일은 python 난독화 스크립트로, 실행 시 다음과 같은 흐름으로 코드가 실행됩니다.
- 실행 흐름
Base85 → BZ2 압축 해제 → Zlib 압축 해제 → Marshal 로드 → 생성된 바이트 코드 실행
바이트 코드가 실행되면, 우선 실행 인자로 전달받은 값(“MRB_2_NEW_VER_BOT”)을 Telegram Bot ID로 설정하여 Request 요청(“t.me/MRB_2_NEW_VER_BOT”)을 진행합니다. 해당 페이지에 접근하게 되면 HTML 메타 태그 “og:description“의 content 값을 파싱하여 특정ID값을 가져오게 되며, 해당 ID를 통해 urlvanish.com/{ID}을 접근 후 다음 주소로 리다이렉션됩니다.
- 리다이렉션 URL:
hxxps://mongky68.godohosting[.]com/detail/nonlocal/23summer/PA/PA?referer=urlvanish.com%2Ffe44f1ba
2.3) fe44f1ba 분석
C2 서버에서 추가로 다운받은 fe44f1ba 파일은 py.ico 파일과 동일한 방식으로 난독화가 되어 있는 python 스크립트이고, 최종적으로 생성된 바이트 코드를 실행합니다.
실행되는 바이트 코드의 문자열을 추출하여 확인한 결과, 브라우저 자격 증명 관련 정보와 암호화폐 지갑을 수집하고, C2 서버로 전송합니다. 이후 추가 파일을 다운로드하고 실행해 추가 데이터 유출을 하는 것으로 추정됩니다. 해당 파일의 문자열 추출 정보는 다음과 같습니다.
| 항목 | 상세 문자열 | 설명 |
| Telegram Bot Token | 7755709066:AAExjVy6cxqr-6wprm2w3gqyAXSL7LfmwEE | Telegram API 통신을 위한 고유 토큰 |
| Telegram Channel | -1003147990191, -1002804802878, -1003188277781 |
로그 수집, 감염 알림, 데이터 유출 채널 ID |
| C2 Server Host | hxxp://mongky68.godohosting[.]com | 악성파일 유포지 (국내 웹 호스팅 서비스 악용) |
| 추가 다운로드 Path | /detail/nonlocal/23summer/ABE, /detail/nonlocal/23summer/clip, /detail/nonlocal/23summer/PA/pure |
추가 페이로드 다운로드 경로 |
[표 1] C2 통신 관련 문자열
| 분류 | 상세 문자열 | 탈취 정보 |
| 주요 브라우저 | Naver Whale, Chrome, Edge, Brave, Firefox, Opera, Opera GX, Opera Crypto, Vivaldi | Login Data, Cookies, Web Data, HIstory |
| 기타 브라우저 | Thorium, Iridium, Epic, Dragon, CocCoc, Yandex, Slimjet, U-R Browser, Arc, Aloha, CryptoTab, Cent, Chedot, 360Browser | |
| 시스템 정보 | Local State, os_crypt, encrypted_key, login_db, cookie_db |
[표 2] 브라우저 관련 문자열
| 분류 | 대상 도메인 (URL) |
| 국내 거래소 | `upbit.com`, `korbit.co.kr`, `coinone.co.kr`, `gopax.co.kr` |
| 해외 거래소 | `binance.com`, `coinbase.com`, `okx.com`, `bybit.com`, `bitget.com`, `mexc.com`, `htx.com`, `kucoin.com`, `kraken.com`, `bitfinex.com`, `bingx.com`, `bitmart.com`, `lbank.com`, `xt.com`, `bitunix.com`, `probit.com`, `huobi.com` |
| 지갑 | `exodus.com`, `hyperliquid.xyz`, `electrum.org`, `coinomi.co.nl`, `bitgo.com`, `paypal.com`, `crypto.com`, `nami.exchange`, `whitebit.com`, `gate.com` |
| 광고 계정 | `ads.google.com`, `business.facebook.com`, `adsmanager.facebook.com` |
[표 3] 암호화폐 관련 문자열
| 지갑 명칭 | 확장 프로그램 ID |
| MetaMask | `nkbihfbeogaeaoehlefnkodbefgpgknn`, `djclckkglechooblngghdinmeemkbgci` |
| Ronin Wallet | `fnjhmkhhmkbjkkabndcnnogagogbneec`, `kjmoohlgokccodicjjfebfomlbljgfhk` |
| TronLink | `ibnejdfjmmkpcnlpebklmnkoeoihofec` |
| Binance Wallet | `fhbohimaelbohpjbbldcngcnapndodjp` |
| OKX Wallet | `mcohilncbfahbmgdjkbpemcciiolgcge` |
| Phantom / Solflare | `bfnaelmomeimhlpmgjnjophhpkkoljpa`, `bhhhlbepdkbapadjdnnojkbgioiodbic` |
[표 4] 암호화폐 지갑 확장 프로그램 관련 문자열
위협의 진화 및 특성 분석
2024년 말부터 2026년 1월까지 관찰된 캠페인은 유포 채널에 따라 이메일 기반 5종(Email case 1~5), 웹 기반 2종(Web case1~2) 으로 나뉘며, [표 5] Operations 분류에서 7개 Operation의 활동 기간 및 Activity 수와 대표적인 특징을 확인할 수 있습니다.
| Operation | 유형 | 활동 기간 | Activity 수 | 특징 |
| Email case 1 | 이메일 | 2024년 | 48 | 형상관리(GitHub/GitLab) 활용 |
| Email case 2 | 이메일 | 2025/01 ~ 03 | 67 | msimg32.dll 사용 |
| Email case 3 | 이메일 | 2025/05 ~ 09 | 62 | version.dll 사용 |
| Email case 4 | 이메일 | 2025/05 ~ 12 | 138 | AppvIsvSubsystems64.dll 사용 |
| Email case 5 | 이메일 | 2025/11 ~ 2026/01 | 159 | urlmon.dll 사용 |
| Web case 1 | 웹 | 2024년 | 19 | AI 영상 도구 위장 |
| Web case 2 | 웹 | 2025/03 ~ 04 | 32 | CapCut/AICore 위장 |
[표 5] Operations 분류
각 Operation의 기술적 특성을 정량화하기 위해 형상관리도구, 자체인프라, 클라우드, 파이썬이용, 파이썬동봉, 파이썬다운로드, 사이드로딩 7개 항목으로 특성 벡터를 정의했으며, [표 6]에 Operation별 Vector 체크리스트에 Operation별 사용(○)·미사용(×)·일부 변종만 해당(△) 여부를 정리했습니다.
- 형상관리도구: GitHub/GitLab/Bitbucket, Pastebin, paste.rs 등 정상 개발/코드·텍스트 호스팅 플랫폼을 C2·페이로드 호스팅에 활용
- 자체 인프라: 공격자가 직접 구축·관리하는 C2 서버 사용
- 클라우드: Dropbox, MediaFire 등 퍼블릭 클라우드 스토리지 활용
- 파이썬 이용: Python 기반 악성 스크립트 사용
- 파이썬 동봉: Python 런타임 및 스크립트를 ZIP 내부에 직접 포함(파이썬 버전 3.10)
- 파이썬 다운로드: 외부에서 Python 패키지 동적 다운로드
- 사이드로딩: DLL 사이드로딩 기법 사용
이 벡터를 보면 파이썬 패키지를 이용한 공격 방식은 7개 Operation 전반에서 공통으로 유지되고, 형상관리/클라우드/C2/DLL 사이드로딩/파일 동봉/다운로드 조합만 시기별로 바뀌고 있음을 알 수 있습니다.
즉 LoneNone은 핵심 공격 방식은 유지한 채, 인프라/로더/페이로드 전달 방식만 단계적으로 진화시켜 온 것으로 해석할 수 있습니다.
범례: O 사용, X 미사용, △ 일부 변종에서만 관찰
| 특성 | Email case 1 | Email case 2 | Email case 3 | Email case 4 | Email case 5 | Web case 1 | Web case 1 |
| 형상관리도구 | O | X | O | X | X | △ | X |
| 자체인프라 | O | O | X | O | O | O | O |
| 클라우드 | O | X | X | X | X | X | X |
| 파이썬이용 | O | O | O | O | O | △ | O |
| 파이썬동봉 | X | O | O | O | X | X | O |
| 파이썬다운로드 | O | X | X | X | O | △ | X |
| 사이드로딩 | X | O | O | O | O | X | X |
[ 표 6] Operation별 Vector 체크리스트
해당 포스트에서는 PyChain 캠페인의 기술적 진화 과정과 Operation별 특성을 정리했습니다.
위협의 진화 및 특성과 결론 등 상세 내용은 인텔리전스 보고서로 보관 중이며, 본 포스팅에서는 추가로 공개하지 않습니다.
해당 내용에 대한 문의나 협력 요청이 있으시면 esrc@estsecurity.com으로 연락해 주시기 바랍니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| 가짜 FileZilla 사이트를 이용한 악성코드 유포 (0) | 2026.03.13 |
|---|---|
| 고용노동부 사칭 피싱 유포 사례 분석 - 이메일 도메인 분석까지 수행하는 ‘정밀 타겟형’ 공격 (0) | 2026.02.06 |
| .hta 파일로 유포중인 KimJongRAT 주의! (0) | 2025.11.28 |
| 국민지원금 스미싱 수법을 재활용한 지원금 사칭 스미싱 주의! (0) | 2025.08.25 |
| 北 해킹 조직의 언론사 위장 스피어 피싱 공격 주의! (1) | 2025.08.07 |
댓글 영역