북한 해커 그룹 Konni(Opal Sleet, TA406)는 최근 AI가 생성한 PowerShell 악성코드를 활용해 블록체인 분야의 개발자와 엔지니어를 표적으로 삼고 있습니다. Konni는 APT37 및 Kimsuky와 연관된 것으로 추정되며, 2014년부터 남한, 러시아, 우크라이나, 유럽 등 다양한 국가의 조직을 공격해왔습니다. 최근 Check Point 연구진이 분석한 샘플에 따르면, 이번 공격은 일본, 호주, 인도 등 아시아-태평양 지역을 주요 대상으로 하고 있습니다.
공격은 피해자가 Discord에 호스팅된 링크를 통해 ZIP 파일을 받으면서 시작됩니다. 이 ZIP 파일에는 PDF 문서로 위장한 유인물과 악성 LNK 바로가기 파일이 포함되어 있습니다. LNK 파일을 실행하면 PowerShell 로더가 작동해 DOCX 문서와 PowerShell 백도어, 배치 파일, UAC 우회 실행 파일 등이 포함된 CAB 아카이브를 추출합니다. 이 과정에서 개발 환경을 침해해 인프라, API 자격 증명, 지갑 접근 권한 등 민감한 자산을 탈취하는 것이 목적입니다.
이번에 발견된 PowerShell 백도어는 수학적 문자열 인코딩, 런타임 문자열 재구성, ‘Invoke-Expression’을 통한 최종 로직 실행 등으로 난독화되어 있습니다. 특히, 코드 상단의 명확한 문서화, 모듈화된 구조, LLM(대형 언어 모델) 특유의 주석 등 AI가 생성한 코드의 특징이 뚜렷하게 나타납니다. 악성코드는 감염된 기기에서 주기적으로 C2 서버와 통신하며, 서버로부터 받은 PowerShell 코드를 비동기적으로 실행합니다. Check Point는 기존 공격과의 유사성을 근거로 이번 공격을 Konni의 소행으로 판단했으며, 관련 IoC를 공개해 방어자들이 자산을 보호할 수 있도록 지원하고 있습니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.