통일부 내부 관계자 를 노린것으로 추정 되는 김수키(Kimsuky) 악성코드-(대외보안)통일부_중동상황관련_정책간담회_기획안.pdf

오늘은 북한 해킹 조직 김수키(Kimsuky) 에서 만든 악성코드인 (대외보안)통일부_중동상황관련_정책간담회_기획안.pdf에 대해서 글을 적어 보겠습니다
파일명:(대외보안)통일부_중동상황관련_정책간담회_기획안.pdf.lnk
사이즈:1 MB
MD5:232affa807a618e98959d858f064a434
SHA-1:76314081b9bf6660fda31bc08fa2237d43db3600
SHA-256:e291ee630a58c405f86ca83d9364bfc3dbf13aecff9000cca4f2602158dac845
입니다.
일단 반복 키 기반 조건부 감산 난독화 부분으로 변수명 $VIUSBvejbawf
난독화 키 문자열 KKswf&3H&
오프셋:+103
방식:반복 키 기반 조건부 감산
조건 A (pw_num >= 암호문):키 연산값에서 암호문을 빼서(pw_num - 암호문) 원래의 문자 코드를 복원
조건 B (pw_num < 암호문):감산 연산을 아예 하지 않고 암호문 숫자 그대로를 최종 원문 바이트

악성코드 에 포함된 PowerShell 코드

악성코드 분석

1.PowerShell 분석
$Apkengsidefg = "KKswf&3H&"
해당 키를 UTF-8 바이트로 바꾸고 각 바이트에 103 을 더하는 방식을 사용하고 있음
K:75->178
K:75->178
s:115->218
w:119->222
f:102-> 205
&:38->141
3:51->154
H:72->175
&:38->141
특이점 encoded_byte 가 킷값보다 크면 그대로 둔다는 점
이렇게 하면 UTF-8 한국어 바이트 예를 들어 EC,ED 계열 바이트는 깨지지 않고 통과
미끼 파일명이 한국어인 것을 의식한 난독화 방식
복호화 결과를 디스크에 저장하고 바로 실행
2.복호화된 1차 스테이지 요약
TEMP에 기존 미끼 PDF가 있으면 삭제
GitHub raw에서 povjrg.pdf 다운로드

악성코드 핵심 실행 내용

PDF 실행
APPDATA에 opifgrg.ps1 생성
opifgrg.ps1 내부에 SqpbvjgrS.txt 다운로드 로직 저장
예약 작업 생성
예약 작업이 5분 뒤 시작 이후 35분마다 opifgrg.ps1 실행
opifgrg.ps1이 qpjvKUHSvgf.ps1을 내려받아 실행
현재 실행 중인 스크립트 자기 삭제 시도
예약 작업명:MicrosoftEdgeUpdateTaskMachineforce678{F60293632-35R-4A2F-96A8-03C3ECD693f5}

악성코드 가 만든 작업스케줄러

깃헙에서 파일 다운로드

hxxps://raw(.)githubusercontent(.)com/anti-box/jang/main/povjrg(.)pdf

다운로드 후 바로 실행
사용자는 실제 PDF가 열리는 것을 보고 문서가 정상적으로 열린다고 생각을 하게 하지만 실제로는 그 사이 백그라운드에서 지속성 등록과 2차 페이로드 다운로드가 
3.2차 페이로드 다운로드 구조
1차 스크립트는 %APPDATA% 에 다음 파일을 생성
해당 파일의 역할은 추가 페이로드를 받아 실행하는 것
hxxps://raw(.)githubusercontent(.)com/anti-box/jang/main/SqpbvjgrS(.)txt
저장 위치:
%APPDATA%\qpjvKUHSvgf.ps1
실행:SqpbvjgrS.txt 는 확장자가 txt지만 실제로는 PowerShell 스크립트
4.지속성 Persistence
예약 작업을 생성
정상 Microsoft Edge 업데이트 작업처럼 보이도록 이름을 위장
트리거는 최초 실행 5분 뒤 시작하고 이후 35분마다 반복 실행
6.IOC 정리
파일 경로
%APPDATA%\dfvkuriguse.ps1
%APPDATA%\opifgrg.ps1
%APPDATA%\qpjvKUHSvgf.ps1
%TEMP%\(대외보안)통일부_중동상황관련_정책간단회_기획안.pdf

악성코드 PDF 내용

URL

hxxps://raw(.)githubusercontent(.)com/anti-box/jang/main/povjrg(.)pdf
hxxps://raw(.)githubusercontent(.)com/anti-box/jang/main/SqpbvjgrS(.)txt

예약 직업명
MicrosoftEdgeUpdateTaskMachineforce67{F60293632-35R-4A2F-96A8-03C3ECD693f5}
결론
1.긴 숫자 배열을 자체 알고리즘으로 복호화
2.복호화된 PowerShell을 %APPDATA%\dfvkuriguse.ps1에 저장
3.해당 스크립트를 Invoke-Expression 으로 실행
4.GitHub raw 저장소에서 미끼 PDF 다운로드
5.한국어 제목의 미끼 PDF를 임시 폴더에 저장 후 열기
6. 추가 PowerShell 다운로더를 %APPDATA%\opifgrg.ps1 에 생성
7.GitHub에서 2차 스크립트 SqpbvjgrS.txt 를 받아 %APPDATA%\qpjvKUHSvgf.ps1 로 저장 후 실행
8. 예약 작업을 등록해 35분마다 재실행
9.자기 자신 스크립트 삭제 시도
사용자가 문서를 여는 순간 다운로드 된 미끼 PDF를 보여 주면서 백그라운드에서 추가 페이로드를 받아오고 지속성을 확보하는 구조
백신 프로그램으로 악성코드를 제거했더라도 따로 작업 스케줄러에 가서 해당 작업 스케줄러를 삭제를 해주어야 해야지 완전하게 삭제를 하는 것임
PDF 내용 요약
대외 비공개로 표시된 통일부 정책간담회 기획안 형식의 미끼 문서
최근 중동 정세를 한반도 평화공존 정책과 연결해 논의하는 비공개 간담회를 준비한다는 구성
일시: 2026년 5월 26일 화요일 15:20~18:20
장소:통일부 정부서울청사
주최:통일부 정세분석국
주제:최근 중동상황에 대비한 한반도 평화공존 정책방향
대상:통일부 실무자, 안보 전문가 약 15명
형식:대면 + 비대면 병행, 비공개회의
간담회는 2개 세션으로 구성
첫 번째 세션은 최근 중동상황 평가 및 한국의 대응 방향
발표자는 신범철 세종연구소 수석연구위원으로 되어 있고 사회자와 토론자는 미정
두 번째 세션은 한반도 평화체제 구축 및 주변국 협력방안
사회자는 하무진 통일부 정치군사분석과장,발표자는 조?렬 전 오사카 총영사로 되어 있으며 토론자는 미정
참석자 명단에는 통일부 관계자,연구기관 인사,전직 외교·국방 관련 인물,언론인 등이 포함되어 있는것으로 확인을 할수가 있습니다.
발표자와 토론자에게 원고 제출을 요청
발표자:발표 원고 약 15쪽, 20분 발표
토론:토론문 3~4쪽, 10분 토론
토론자 추가 제출 정보:프로필, 연락처, 은행계좌번호, 주민등록번호, 집주소
문서 자체에도 어색한 부분 존재
일시: 2026.05.26
세션 표기: 2026.02.26
날짜가 서로 맞지 않음
또한 원고 제출 기한도 다음처럼 이상
5월 6일(금)
5월 13일(화)
요일과 날짜가 맞지 않음
통일부 비공개 정책간담회 기획안처럼 위장한 미끼 문서 중동 정세와 한반도 평화정책을 주제로 신뢰를 유도 하는 문서
일단 우리 김수키(Kimsuky)가 노력을 했지만, PDF 파일을 자세하게 보면 해당 PDF는 가짜라는 것을 확인할 수가 있음
ESET-NOD32:LNK/Kimsuky.AA Trojan 등으로 탐지되고 있으니 기본적인 보안 수칙을 지키면서 파일을 실행하는 것을 권장합니다.