김수키(Kimsuky)에서 만든 악성코드-파동에너지 이론 2026년 5월 개정판.lnk

오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드인 파동에너지 이론 2026년 5월 개정판.lnk 에 대해서 글을 적어 보겠습니다. 일단 파동에너지 가 무언인지 몰라서 검색을 해보니 파동에너지 이론은 차트 에서 가격 움직임을 파동으로 해석하고 이동평균선(이평선)의 기울기, 역학관계와 스토캐스틱 등을 결합해 시장 참여자의 심리와 추세 방향을 읽는 트레이딩 분석하는 것으로 나와져 있었습니다.
뭐~일단 투자 관련 서적 PDF를 미끼로 해서 악성코드를 감염시켜 실행하는 방식입니다.
파일명:파동에너지 이론 2026년 5월 개정판.lnk
사이즈:7 MB
MD5:9ccc09d36ce870c571a86f1496d54f46
SHA-1:8f9136878a8da6e4efee9a7cf2934e7449a1b4df
SHA-256:77773d204d143a8788e92c827222012bd48d490edda647704a3d8ccf1f8d6f53

파동에너지 이론 2026년 5월 개정판 악성코드 Powershell 코드

분석

해당 악성코드는 PowerShell을 숨김 창으로 실행하고 .lnk 파일 자기 자신 안에 붙어 있는 데이터 에 포함된 Xor를 난독화 해서 PDF 미끼 문서와 2차 PowerShell 스크립트를 생성 및 실행하는 구조
Offset 819:Length 6776249->PDF 파일 생성
Offset 6784441:Length 37256->XOR 0x22->PowerShell 스크립트 생성
여기서 우리가 보아야 하는 것은 0x22 부분 XOR 입니다.
해당 부분을 파이썬으로 풀어주면 됩니다.
그리고 다음과 같이 분석을 할 수가 있습니다.
1.가상 환경 및 분석 도구 검색
처음 vd 함수에서 다음 프로세스가 실행 중이면 즉시 종료하는 방법을 사용합니다.

CyberChef 로 악성 HEX 디코딩

프로세스 목록

vmtoolsd
vmwaretray
vboxservice
vboxtray
ida
ida64
x64dbg
x32dbg
OllyDbg
ProcessHacker
Procmon
Procmon64
Wireshark
Fiddler
dnspy
de4dot
ilspy
autoruns
procexp
tcpview
resourcehacker

즉 VMware, VirtualBox, IDA, x64dbg, dnSpy, Procmon, Wireshark, Fiddler 같은 분석 환경을 피하려는 코드
2.작업 스케줄 예약 작업 생성
예약 작업 이름
Loopless Winder Silk W-1-BD754E54-765A-56FE234BAE2389FC-8795415BC34E
이미 존재하면 새로 만들지 않고 해당 예약 작업의 Description 값을 식별자로 재사용
해당 구조는 감염 식별자 또는 캠페인 ID를 예약 작업 설명에 저장해 재실행 시 유지하려고 하는 방식
3.TEMP 폴더에 지속성 파일 생성
예약 작업이 없으면 %TEMP% 아래에 랜덤 폴더를 만들고 그 안에 랜덤 이름의 .ps1 과 .vbs를 생성
VBS 내용은 PowerShell을 숨김 창으로 실행
예약 작업은 직접 PowerShell을 실행하지 않고 wscript.exe 를 통해 VBS를 실행하며 VBS가 다시 PowerShell을 숨김으로 실행
4.예약 작업 등록
예약 작업 행동
kAction -Execute 'wscript.exe' -Argument '"<temp>\<random>.vbs"
트리거:
감염 후 5분 뒤부터 시작하고 이후 30분마다 반복 실행

난독화 된 코드

지속성 방식
지속성 기법:Scheduled Task
실행 파일:wscript.exe
2차 실행:powershell.exe
은닉:Hidden task+hidden PowerShell
반복 주기: 30분
실행 정책 우회: ExecutionPolicy Bypass

C2

핵심 도메인
aplore(.)kesug(.)com
사용 URL
hxxps://aplore(.)kesug.com
hxxps://aplore(.)kesug(.)com/aes(.)js
hxxps://aplore(.)kesug(.)com/riln(.)php
hxxps://aplore(.)kesug(.)com/repmay/airbe(.)txt
JavaScript AES 쿠키 우회
hxxps://aplore(.)kesug(.)com/aes.js 메인 페이지도 가져오고 나서 
hxxps://aplore(.)kesug(.)com

난돋화 해제 코드

HTML 안의 JavaScript 챌린지를 변조해서 다음 형태로 변경
이후 cscript /nologo aes(.)js로 실행해 결괏값을 얻고 해당 값을 __test 쿠키로 사용
서버가 JavaScript를 실행할 수 있는 클라이언트인지 확인하는 방어 및 우회 쿠키를 PowerShell이 직접 계산해서 통과
쿠키 이름:
__test
C2 사이트의 JavaScript 기반 접근 제어를 우회하도록 만들어진 로더

시스템 정보 수집

수집 대상
Win32_ComputerSystem
Win32_OperatingSystem
Win32_Process
수집 필드
Name
Domain
Manufacturer
Model
PrimaryOwnerName
TotalPhysicalMemory
Caption
Version
BuildNumber
OSArchitecture
LastBootUpTime
ProcessName
ProcessID
ParentProcessId
Path

감염 PC의 하드웨어, OS, 프로세스 목록을 수집하며 특히 전체 프로세스 목록을 보내므로, 분석 도구, 보안 제품, 브라우저, 업무 프로그램 등을 식별할 수 있게 됨.
C2로 정보 전송
전송 함수는 p-s
POST 대상
hxxps://aplore(.)kesug(.)com/riln(.)php
Content-Type:
application/x-www-form-urlencoded
fon:감염자별 경로 또는 로그 폴더
fin:상태값 이며 여기서는 BEGIN
rst:수집된 시스템 정보
감염 시작 시점에 시스템 정보를 C2로 업로드
추가 페이로드 다운로드
스크립트는 다음 URL에서 추가 PowerShell 페이로드를 다운로드
hxxps://aplore(.)kesug(.)com/repmay/airbe(.)txt

악성코드 실행 생기는 미끼 PDF 파일

저장 위치
%TEMP%\<랜덤>.ps1
그 후 내부 문자열을 치환하며 치환 값은 감염자별 ID이며 실행 후 삭제
IOC
파일,경로
%TEMP%\aes.js
%TEMP%\(랜덤폴더)\(랜덤).ps1
%TEMP%\(랜덤폴더)\(랜덤).vbs
%TEMP%\(랜덤).ps1
예약 작업
Loopless Winder Silk W-1-BD754E54-765A-56FE234BAE2389FC-8795415BC34E
프로세스 체인
wscript.exe
powershell.exe -windowstyle hidden -ExecutionPolicy Bypass
cscript.exe /nologo %TEMP%\aes.js
네트워크 IOC
aplore(.)kesug(.)com
hxxps://aplore(.)kesug(.)com
hxxps://aplore(.)kesug(.)com/aes(.)js
hxxps://aplore(.)kesug(.)com/riln(.)php
hxxps://aplore(.)kesug(.)com/repmay/airbe(.)txt

HTTP User-Agent

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/141.0.0.0 Safari/537.36 Edg/141.0.0.0

감염 PC를 등록하고 airbe.txt에서 다음 단계 명령 페이로드를 가져오는 역할을 합니다.
일단 투자 관련해서 이메일을 보내고 사용자가 실행하게 해서 악성코드를 실행하는 방식을 악성코드입니다.