<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=939333007162424&amp;ev=PageView&amp;noscript=1">
 

    Operation Capsule Vault:
    EMBED_PAYLOAD_v2 기반 RokRAT 공격 체인 분석

    Operation Capsule Vault: RokRAT Attack Chain Analysis Using EMBED_PAYLOAD_v2

    ◈ 주요 결과 (Key Findings)

    • 실제 학술행사 및 세미나 자료집으로 위장한 스피어피싱 이메일을 통해 초기 침투 수행
    • PDF 파일로 위장하였으나 실제로는 클라우드 스토리지 링크를 통해 악성 ISO 파일 전달
    • ISO 내부에 PDF 문서로 위장한 실행파일(.pdf.pif)을 포함하여 사용자의 실행을 유도
    • Shellcode 페이로드를 메모리에 적재하여 RokRAT 변종을 프로세스에 인젝션 수행
    • ISO, PIF 실행 행위를 연계 탐지할 수 있는 EDR 및 위협헌팅 정책 강화 필요

     

    1. 개요 (Overview)

    지니언스 시큐리티 센터(Genians Security Center)는 최근 학술행사 자료집 배포를 사칭한 스피어피싱 공격 활동을 식별하였습니다.

    해당 공격은 특정 연구, 정책, 학술 분야 종사자를 대상으로 수행된 표적형 공격으로 판단되며, 실제 개최된 행사 정보를 활용한 정교한 사회공학 기법이 사용된 것이 특징입니다.

     

    [그림 1-1] 공격 흐름도

    [그림 1-1] 공격 흐름도

     

    위협 행위자는 실제 공개된 행사명과 자료집 배포 형식을 도용하여 이메일을 작성하였으며, 수신자가 정상적인 업무 또는 연구 활동의 연장선으로 인식하도록 구성하였습니다. 이메일 제목과 본문은 실제 행사 안내 및 자료집 배포 메일과 유사한 형태를 사용하고 있으며, 관련 기관이 공동으로 참여한 행사인 것처럼 위장하여 신뢰도를 높이고자 하였습니다.

    특히 본 공격은 허위 행사나 가짜 문서를 생성하는 방식이 아닌, 실제 공개된 행사 정보를 활용하여 공격 효과를 높인 것으로 확인되었습니다. 이러한 방식은 수신자의 경계심을 낮추고, 악성파일 실행 가능성을 높이는 대표적인 사회공학 기법으로 볼 수 있습니다.

    분석 결과 위협 행위자는 클라우드 기반 파일 공유 서비스를 활용하여 악성파일을 유포하였으며, 정상 문서로 오인할 수 있는 파일명과 형식을 사용하여 사용자의 실행을 유도하는 것으로 확인되었습니다. 또한 정상 문서 열람 행위와 악성 행위를 동시에 수행하는 미끼 문서 기법을 사용하여 사용자가 감염 사실을 인지하기 어렵도록 설계하였습니다.

    공격에 사용된 악성코드는 정상 문서 표시 기능과 함께 추가 페이로드를 메모리 상에서 실행하는 다단계 구조를 갖추고 있으며, 프로세스 인젝션을 통해 후속 악성 행위를 수행하는 것으로 확인되었습니다. 또한 정상 파일 형식과 실행파일 형식을 혼합하여 사용하는 방식으로 사용자 인지 및 보안 솔루션 탐지를 우회하려는 시도가 관찰되었습니다.

    지니언스 시큐리티 센터는 본 공격 활동을 "Operation Capsule Vault"로 명명하였습니다. 해당 명칭은 공격에 사용된 PIF 실행파일이 정상 PDF 문서와 추가 악성 페이로드를 내부에 함께 포함한 채 저장하고, 실행 과정에서 이를 순차적으로 추출하여 활용하는 구조적 특징에서 착안하였습니다.

    특히 EMBED_PAYLOAD_v2 기반 구조는 하나의 파일 내부에 복수의 객체를 내장하고 있으며, 최종적으로 RokRAT 페이로드를 메모리 상에 적재하여 후속 악성 행위를 수행합니다. Capsule은 다양한 객체를 내부에 포함한 컨테이너 구조를, Vault는 정상 문서와 악성 구성요소를 은닉한 저장소 형태를 의미하며, 본 작전명은 이러한 공격 체인의 특성을 반영하고 있습니다.

    본 위협 인텔리전스 보고서에서는 스피어피싱 이메일 분석, 사회공학 기법, 유포 체계, 악성 실행파일 구조, 임베디드 페이로드 분석, 프로세스 인젝션 동작 및 주요 전술, 기술, 절차(TTPs)를 중심으로 분석을 수행하였습니다. 또한 분석 과정에서 식별된 주요 침해지표(IoC)와 EDR 탐지 방안을 함께 제공합니다.

    이번 보고서는 단일 악성파일 분석에 국한되지 않고 실제 행사 정보를 악용한 사회공학 기법과 다단계 페이로드 구조를 포함한 전체 공격 체인을 기반으로 작성되었으며, 향후 유사한 표적형 공격에 대한 탐지 및 대응 역량 강화에 활용될 수 있을 것으로 기대됩니다.

     

    2. 위협 분석 (Threat Analysis)


    2-1. 초기 접근 (Initial Access)

    초기 유입은 스피어피싱 이메일을 통해 이루어집니다. 위협 행위자는 연구, 정책, 학술 분야 종사자를 대상으로 실제 학술행사 자료집 배포 안내로 위장한 이메일을 2026년 6월 22일 발송하였으며, 수신자가 정상적인 업무 관련 자료로 인식하도록 내용을 구성하였습니다.

     

    [그림 2-1] 스피어피싱 이메일 화면

    [그림 2-1] 스피어피싱 이메일 화면

     

    이메일 제목과 본문은 실제 공개된 행사 정보를 기반으로 작성되었으며, 행사 자료집을 전달하는 일반적인 안내 형식을 사용하고 있습니다. 공격에 활용된 내용은 2026년 6월 12일 서울 COEX에서 개최된 「왜 지금 원산갈마 관광인가?」 학술 컨퍼런스 관련 자료집으로 소개되었습니다.

    원산갈마는 북한 동해안의 대표적인 관광개발 지역으로, 위협 행위자는 실제 개최된 학술 컨퍼런스의 행사명, 주제, 주최기관 등 공개된 행사 정보를 일부 도용하여 미끼 문서를 제작하였습니다.

    아울러 발신자는 별도의 통일분야 기업으로 사칭해 정상적인 업무 안내인 것처럼 위장하였습니다. 이를 통해 수신자가 실제 행사와 관련된 공식 자료로 오인하도록 현혹하고, 첨부파일을 확인하도록 유도하였습니다.

    사용자에게는 PDF 자료집이 첨부된 것처럼 보이지만, 실제로는 드롭박스(Dropbox)에 업로드된 파일 다운로드 링크가 제공됩니다. 사용자가 첨부파일로 인식되는 항목을 클릭할 경우 드롭박스 클라우드 저장소로 연결되며, 이후 ISO 이미지 파일이 다운로드됩니다.

    다운로드된 ISO 파일은 세미나 자료집과 유사한 파일명을 사용하여 정상 문서로 오인되도록 구성되어 있습니다. 또한 ISO 내부에는 PDF 문서처럼 보이는 파일이 포함되어 있어, 사용자가 자료집을 열람한다고 판단한 상태에서 해당 파일을 실행하도록 유도합니다.

     

    [그림 2-2] ISO 이미지 파일 내부 화면

    [그림 2-2] ISO 이미지 파일 내부 화면

     

    실제 파일은 문서 형식을 가장한 실행파일이며, PDF와 유사한 파일명과 아이콘을 사용하여 실행파일이라는 사실을 인지하기 어렵게 설계되었습니다. 특히 Windows 환경에서 기본적으로 파일 확장자가 표시되지 않는 점을 악용하여 사용자의 경계심을 낮추려는 의도가 확인됩니다.

    이와 같은 방식은 실제 행사 정보와 정상적인 업무 문서 전달 절차를 결합한 사회공학 기법으로, 사용자가 악성파일을 직접 실행하도록 유도하는 초기 접근 수단으로 활용됩니다. 결과적으로 ISO 내부의 PDF 위장 실행파일은 후속 악성 행위를 수행하기 위한 최초 실행 매개체(Initial Loader) 역할을 담당합니다.

     

    2-2. 첨부 파일 분석 (Attachment Analysis)

    공격에 사용된 ISO 이미지 파일 내부에는 PDF 문서로 위장한 실행파일이 포함되어 있습니다. 사용자가 실행하는 파일의 이름은 PDF 문서와 동일한 형식을 사용하고 있으나, 실제 확장자는 PIF(Program Information File)로 확인되었습니다.

    PIF 파일은 초기 Windows 환경에서 MS-DOS 기반 프로그램의 실행 환경을 설정하기 위해 사용되던 파일 형식입니다. 원래는 프로그램 실행 시 메모리, 화면 모드, 시작 디렉터리 등의 정보를 저장하는 용도로 사용되었으나, 현대 Windows 환경에서는 실행 가능한 파일로 처리됩니다. 이러한 특성 때문에 과거부터 위협 행위자들이 실행파일을 문서로 위장하는 수단으로 자주 악용해 왔습니다.

    특히 Windows 환경에서는 기본 설정에 따라 알려진 파일 형식의 확장자가 표시되지 않을 수 있습니다. 이 경우 사용자는 파일명을 PDF 문서로 인식할 수 있으나, 실제로는 실행파일을 실행하게 됩니다. 위협 행위자는 이러한 사용자 환경을 악용하여 악성파일 실행 가능성을 높이게 됩니다.

    해당 PIF 파일은 단순 실행파일이 아닌 다단계 로더(Loader) 형태로 제작된 것으로 확인되었습니다. 파일 내부에는 dropper_stub.pdb 정보가 포함되어 있으며, 별도의 페이로드를 내장하고 있어 실행 시 이를 추출한 후 후속 동작을 수행합니다.

    • D:\project\pif\pif\x64\Release\dropper_stub.pdb

    파일 구조를 분석한 결과 실행파일 내부에는 EMBED_PAYLOAD_v2 문자열을 기준으로 임베디드 데이터 영역이 포함되어 있으며, 해당 영역에는 복수의 페이로드 정보가 저장되어 있습니다. 프로그램은 실행 후 자기 자신을 다시 읽어 들인 뒤, 내부에 포함된 페이로드 테이블을 파싱하여 각 데이터를 순차적으로 처리합니다.

     

    [그림 2-3] EMBED_PAYLOAD_v2 마커

    [그림 2-3] EMBED_PAYLOAD_v2 마커

     

    분석 과정에서 확인된 페이로드 테이블에는 총 2개의 엔트리가 포함되어 있었습니다. 첫 번째 엔트리는 정상 PDF 문서이며, 두 번째 엔트리는 별도의 바이너리 페이로드로 구성되어 있습니다. 각 엔트리에 해당하는 파일명 길이는 8 바이트로 선언되어 있습니다.

    참고로 빌드 타임(TimeDateStamp)은 2025-10-15 10:43:24(KST)로 확인되었습니다. 그러나 PIF 파일에 내장된 PDF 문서는 2026년 6월 개최된 실제 학술행사 자료를 사용하고 있어, 2025년 10월의 PIF 빌드 타임과 PDF 미끼 문서의 제작 시점 사이에 시간적 불일치가 존재합니다.

    이에 따라 해당 빌드 타임은 분석을 방해하거나 실제 제작 시점을 은폐하기 위해 위협 행위자가 임의로 조작했을 가능성이 높습니다.

     

    [그림 2-4] 페이로드 테이블

    [그림 2-4] 페이로드 테이블

     

    정상 PDF 문서가 실행되면 실제 학술행사 자료집 내용이 화면에 표시되어 사용자는 정상 문서를 열람한 것으로 인식하게 됩니다. 이 과정에서 백그라운드에서는 두 번째 페이로드에 대한 추출 및 실행이 동시에 진행되므로, 사용자는 악성코드가 이미 실행되었다는 사실을 인지하기 어렵습니다.

    즉, 정상 문서를 함께 표시하는 방식은 사용자의 의심을 최소화하고 악성 행위를 은폐하기 위한 전형적인 미끼(Decoy) 기법으로, 사회공학 기법과 악성코드 실행을 결합하여 탐지 가능성을 낮추는 역할을 수행합니다.

     

    [그림 2-5] 미끼용 정상 문서가 실행된 모습

    [그림 2-5] 미끼용 정상 문서가 실행된 모습

     

    2-3. 셸코드 분석 (Shellcode Analysis)

    앞 절에서 확인한 것처럼 실행파일 내부에 포함된 두 번째 임베디드 페이로드는 yanfirst64.bin 파일명으로 저장된 Shellcode 바이너리입니다. 해당 페이로드는 독립적인 실행파일 형태가 아니라 실행파일 내부에 바이너리 데이터로 포함되어 있으며, 프로그램 실행 과정에서 메모리로 복원되어 실행됩니다.

    실행파일은 EMBED_PAYLOAD_v2 페이로드 테이블을 파싱한 후 두 번째 엔트리의 파일 크기와 데이터를 순차적으로 읽어 메모리 버퍼에 적재합니다. 이후 Shellcode 데이터를 연속된 메모리 영역으로 복원하며, 이 과정에서 Shellcode는 디스크에 별도의 파일로 생성되지 않고 메모리 상에서만 처리됩니다.

     

    [그림 2-6] 임베디드 Shellcode 읽기 과정

    [그림 2-6] 임베디드 Shellcode 읽기 과정

     

    분석 결과 Shellcode는 암호화된 페이로드를 직접 실행하지 않고, 먼저 Call-Pop 기법을 이용하여 XOR 키와 암호화된 데이터의 시작 위치를 계산합니다.

    Call-Pop 기법은 call 명령이 스택에 저장하는 반환 주소(Return Address)를 이용해 현재 실행 중인 코드의 위치를 확인한 후, 여기에 일정한 오프셋을 더하여 프로그램 내부에 포함된 데이터의 시작 위치를 계산하는 방식입니다.

    이러한 기법은 실행 환경에 따라 코드가 다른 메모리 주소에 적재되더라도 내부 데이터를 정상적으로 참조할 수 있도록 하는 위치 독립 코드(Position-Independent Code) 구현 방식으로 널리 사용됩니다.

     

    [그림 2-7] Shellcode XOR 디코딩 과정

    [그림 2-7] Shellcode XOR 디코딩 과정

     

    분석 대상 Shellcode는 반환 주소에 0x0C를 더하여 XOR 키가 저장된 데이터 영역의 시작 주소를 계산한 후, 첫 번째 바이트에 저장된 XOR 키(0x29)를 이용하여 암호화된 페이로드 전체를 순차적으로 복호화합니다.

    복호화가 완료된 페이로드는 메모리에 매핑되어 실행 가능한 형태로 복원되며, 이후 악성코드는 프로세스 인젝션(Process Injection)을 수행합니다.

    먼저 CreateToolhelp32Snapshot() API를 호출하여 시스템에서 실행 중인 프로세스 목록을 열거한 후, Process32NextW()를 이용하여 explorer.exe 프로세스를 탐색합니다.

    대상 프로세스가 확인되면 OpenProcess()를 통해 프로세스 핸들을 획득하고, VirtualAllocEx()를 호출하여 explorer.exe 내부에 PAGE_EXECUTE_READWRITE 권한의 실행 가능한 메모리 영역을 할당합니다.

    이후 복원된 페이로드는 WriteProcessMemory()를 이용하여 할당된 원격 메모리 영역으로 복사됩니다. 이어서 악성코드는 LoadLibraryW()와 GetProcAddress()를 통해 ntdll.dll의 RtlCreateUserThread() 주소를 동적으로 획득한 뒤, 원격 스레드를 생성하여 앞서 할당한 메모리 영역을 시작 주소로 실행합니다.

    이로써 악성코드는 별도의 프로세스를 생성하지 않고 정상 Windows 프로세스인 explorer.exe 내부에서 실행됩니다. 이러한 방식은 정상 프로세스를 이용하여 악성 행위를 수행하는 대표적인 프로세스 인젝션 기법으로, 사용자에게 새로운 악성 프로세스가 생성되는 것을 인지하기 어렵게 할 뿐만 아니라 일부 보안 제품의 행위 기반 탐지를 우회하기 위한 목적으로 사용됩니다.

    분석 결과 최종적으로 explorer.exe 프로세스에서 실행되는 페이로드는 x64 기반 RokRAT 변종으로 확인되었으며, 이후 감염 시스템에 대한 정보 수집과 클라우드 기반 명령제어(C2) 통신 등 후속 악성 행위를 수행하는 것으로 분석되었습니다.

     

    2-4. 변종 RokRAT 분석 (RokRAT Variant Analysis)

    프로세스 인젝션을 통해 실행되는 최종 페이로드를 분석한 결과, 해당 악성코드는 x64 환경에서 동작하는 RokRAT 변종으로 확인되었습니다. 복호화된 페이로드의 메인 함수에서는 본격적인 정보 수집이나 명령 수행 이전에 악성코드 실행에 필요한 내부 환경을 초기화하고 C2 통신에 필요한 객체를 구성하는 과정이 먼저 수행됩니다.

    초기화 과정에서는 세션 식별에 사용되는 내부 식별자를 생성하며, 운영체제 버전, 컴퓨터 이름, 사용자 계정, 실행 파일 경로, 실행 파일 버전 정보 등을 수집하여 내부 구조체에 저장합니다.

    또한 SMBIOS(System Management BIOS)와 시스템 정보를 기반으로 시스템 고유 식별자를 생성한 후, 이를 바탕으로 클라우드 C2 통신에 필요한 실행 환경을 구성합니다. SMBIOS는 시스템 하드웨어 및 BIOS 관련 정보를 표준화된 데이터 구조 형태로 제공하기 위한 규격으로, 악성코드는 이를 이용해 시스템별 고유 정보를 수집하고 피해자 식별에 활용합니다.

     

    [그림 2-8] SMBIOS 확인 루틴

    [그림 2-8] SMBIOS 확인 루틴

     

    초기 환경 구성이 완료되면 악성코드는 pCloud, Dropbox 및 Yandex Cloud 서비스를 지원하는 클라우드 객체를 초기화하여 C2 통신을 준비합니다. 분석 과정에서는 세 클라우드 서비스의 REST API와 관련 문자열이 모두 포함되어 있는 것이 확인되었으며, 실행 흐름에서는 각 서비스 객체를 초기화한 후 사용 가능한 클라우드 저장소를 선택하도록 구현되어 있습니다.

    특히 Yandex Cloud와 관련된 OAuth Access Token 두 개가 내부에 하드코딩되어 있으며, 악성코드는 첫 번째 토큰을 이용하여 연결을 시도하고 통신이 실패할 경우 두 번째 토큰을 순차적으로 사용하도록 설계되어 있습니다. 이러한 Fail-over 방식은 특정 토큰이 폐기되거나 사용할 수 없는 상황에서도 다른 인증 정보를 이용하여 클라우드 기반 C2 통신을 지속하기 위한 것으로 판단됩니다.

    분석 시점 기준 첫 번째 토큰은 정상적으로 인증되었으며, 두 번째 토큰은 UnauthorizedError를 반환하여 현재 사용할 수 없는 상태임을 확인하였습니다.

    해당 두 개의 Access Token은 2025년에 공개된 RokRAT 계열 공격에서도 사용된 이력이 확인되며, pCloud, Dropbox, Yandex를 동시에 지원하는 클라우드 기반 C2 구조 역시 기존 공개된 APT37 RokRAT 계열의 특징과 일치합니다.

     

    [그림 2-9] Yandex Token Key

    [그림 2-9] Yandex Token Key

     

    • y0__xCvwqD6BxiitDUgtK7BqRJKUd5n0zFOnE5JA1vpobhCHkgkZg
    • y0__xCgjYyMBxjIhDUgqp2umhIg72AOcJ1RXdfk-fIWhJrHtL7_Iw

    클라우드 객체 초기화 이후 악성코드는 각 서비스의 REST API 형식에 맞추어 HTTP 요청을 생성합니다. pCloud 업로드 기능에서는 multipart/form-data 형식을 사용하며 Boundary 문자열 --wwjaughalvncjwiajs--가 하드코딩되어 있는 것이 확인되었습니다.

    해당 Boundary 문자열은 기존 공개된 RokRAT 분석 사례에서도 반복적으로 확인된 대표적인 식별자이며, 본 변종에서도 동일하게 사용됩니다.

    또한 HTTP 요청 생성 루틴에는 Googlebot/2.1 User-Agent 문자열이 포함되어 있으며, 정상 검색 엔진 트래픽으로 위장하기 위한 목적으로 사용되는 것으로 판단됩니다.

     

    [그림 2-10] pCloud 업로드 Multipart Boundary 문자열 화면

    [그림 2-10] pCloud 업로드 Multipart Boundary 문자열 화면

     

    C2 연결이 완료되면 악성코드는 /Program/<VictimID> 경로를 이용하여 명령 객체를 요청합니다. 수집한 정보와 화면 캡처 데이터는 /Comment/ 경로를 이용하여 업로드합니다. 이를 통해 명령 수신 채널과 데이터 업로드 채널을 분리하여 운용하는 구조를 확인할 수 있습니다.

    수신한 명령은 단순한 switch 문이 아니라 ASCII 코드 범위 비교를 함께 사용하는 혼합 분기 구조로 처리됩니다. 명령 '0'은 화면 캡처 기능을 비활성화하고, 'i'는 화면 캡처 기능을 활성화합니다. 'j'와 'b'는 명령 처리 완료를 서버에 반영한 후 즉시 프로세스를 종료합니다.

    'd' 명령은 난독화된 삭제 명령을 복호화한 뒤 cmd.exe를 통해 실행합니다. 해당 명령은 입력 문자열의 첫 번째 바이트를 복호화 Key로 사용하며, 이후 UTF-16 형태로 저장된 난독화 문자열에서 2바이트 간격으로 하위 바이트만 추출합니다.

    각 암호문 바이트는 cipher_byte - key 방식으로 복호화되며, 복호화된 결과는 출력 버퍼에 순차적으로 저장됩니다.

    따라서 Key 값인 0x23을 통해 0x87 - 0x23 = 0x64, 즉 문자 'd'로 복호화되고, %APPDATA% 및 시작프로그램(Startup) 경로에 생성된 .VBS, .CMD, .BAT, .LNK 등 공격에 사용된 악성 파일과 관련 흔적을 삭제하여 자동 실행 흔적을 제거하는 Cleanup 기능을 수행합니다. 삭제 명령 실행 후 약 10초간 대기한 뒤 ExitProcess()를 호출하여 프로세스를 종료합니다.

     

    [그림 2-11] d 명령의 복호화 루틴

    [그림 2-11] d 명령의 복호화 루틴

     

    'g' 명령은 명령 처리 완료 상태만 서버에 반영한 뒤 별도의 기능을 수행하지 않고 복귀합니다. 'h' 명령은 시스템의 논리 드라이브를 열거하여 파일 목록을 수집하는 기능을 수행합니다. GetLogicalDriveStringsA API를 이용해 이동식 드라이브, 고정 디스크 및 네트워크 드라이브를 식별한 후, 각 드라이브에 대해 dir /A /S 명령을 실행하여 전체 파일 목록을 %TEMP%\[DriveLetter]_.TMP 파일로 생성합니다.

    이후 생성된 파일은 공통 업로드 루틴을 통해 클라우드 C2로 전송되며, 전송 완료 후 임시 파일을 삭제하여 수집 과정에서 생성된 중간 산출물을 제거합니다.

    'e' 명령은 cmd.exe를 통해 운영체제 명령을 실행하며, 'c' 명령은 지정된 경로에서 파일을 탐색하여 수집하는 기능을 수행합니다. 파일 수집 기능은 FindFirstFileW와 FindNextFileW API를 이용하여 지정된 디렉터리를 재귀적으로 탐색한 후, 파일명을 대문자로 변환하여 확장자를 비교하는 방식으로 대상 파일을 선별합니다.

    수집 모드는 Normal, All 및 사용자 지정 확장자의 세 가지를 지원하며, 사용자 지정 모드에서는 세미콜론(;)으로 구분된 최대 20개의 확장자를 지정할 수 있습니다. Normal 모드에서는 악성코드 내부에 하드코딩된 기본 확장자 목록(.XLS, .DOC, .PPT, .TXT, .M4A, .AMR, .PDF, .HWP)을 기준으로 파일을 선별하여 수집합니다.

     

    [그림 2-12] 파일 수집 대상 루틴

    [그림 2-12] 파일 수집 대상 루틴

     

    또한 '1'부터 '4'까지의 명령은 암호화된 페이로드를 복호화 및 검증한 후 VirtualAlloc으로 실행 메모리를 할당하고 CreateThread를 이용하여 메모리에서 직접 실행하는 Fileless 방식으로 동작합니다.

    반면 '5'부터 '9'까지의 명령은 %TEMP%\KB400928_doc.exe 경로를 생성한 후, 페이로드의 첫 번째 바이트와 0x4D 값을 XOR하여 생성한 키로 페이로드 전체를 복호화 및 검증하고, 복호화된 데이터를 KB400928_doc.exe 파일로 저장한 뒤 ShellExecuteA를 이용하여 실행합니다.

    KB400928_doc.exe는 기존 RokRAT 계열에서 지속적으로 사용되어 온 파일명으로, 동일한 파일명을 재사용하는 특징을 확인할 수 있습니다.

    프로세스 정보 수집 기능은 C2 명령을 처리하는 스위치 기반 명령 체계와는 별도로 동작하는 독립적인 정보 수집 루틴입니다. 해당 함수는 CreateToolhelp32Snapshot, Process32NextW, OpenProcess, K32EnumProcessModules, K32GetModuleFileNameExW API를 이용하여 실행 중인 프로세스를 순회하며, 각 프로세스의 PID, 프로세스명 및 실행 파일의 전체 경로를 수집하여 하나의 버퍼에 저장합니다.

    또한 코드에는 중국 보안업체 Qihoo 360 Total Security의 360Tray.exe 문자열과 wcsicmp() 비교가 포함되어 있으며, 이는 기존 RokRAT 계열에서 지속적으로 확인되는 특징 중 하나와 일치합니다. 이러한 문자열은 중국과의 연관성을 암시하거나 분석을 혼란스럽게 하기 위한 위장 목적으로 삽입되었을 가능성이 있습니다.

     

    [그림 2-13] 360Tray.exe 문자열 비교 루틴

    [그림 2-13] 360Tray.exe 문자열 비교 루틴

     

    종합적으로 본 변종은 초기 환경 구성, Victim ID 생성, 시스템 정보 수집, 클라우드 기반 C2 초기화, 명령 채널과 데이터 채널의 분리, 화면 캡처, 프로세스 및 드라이브 정보 수집, 문서 파일 수집, 메모리 기반 페이로드 실행, 디스크 기반 추가 페이로드 실행 등을 통합적으로 수행하는 RokRAT 계열 악성코드로 확인되었습니다.

    특히 pCloud, Dropbox, Yandex를 동시에 지원하는 클라우드 C2 구조, --wwjaughalvncjwiajs-- Boundary 문자열, Yandex OAuth Token 운용 방식 등은 기존에 공개된 APT37 RokRAT 계열에서 반복적으로 확인되는 대표적인 특징과 일치합니다.

     

    3. 위협 귀속 (Threat Attribution) 


    3-1. 상관 관계 분석

    악성코드에서 사용된 Yandex OAuth Token의 계정 정보를 조회한 결과, philp.stwart 계정이 확인되었으며, 해당 계정은 2025년 2월 20일(UTC)에 등록된 것으로 확인되었습니다.

    또한 동일한 계정이 2025년 12월 22일 공개된 「작전명 아르테미스: HWP 기반 DLL 사이드 로딩 공격 분석 보고서」⁠에서도 확인되었습니다. 이러한 점을 종합하면, 위협 행위자가 동일한 Yandex 클라우드 계정을 지속적으로 운용했을 가능성이 있습니다.

     

    [그림 3-1] Yandex 계정 가입자 정보

    [그림 3-1] Yandex 계정 가입자 정보

     

    2025년부터 현재까지 본 위협 행위자의 공격 활동에서 식별된 주요 정보는 다음과 같습니다.

    • johnson8903013@gmail.com
    • 5.180.208[.]57 (US) - Clouvider
    • 5.180.208[.]60 (US) - Clouvider
    • 89.147.101[.]197 (KR) - Nord VPN
    • 89.187.161[.]220 (JP) - Astrill VPN
    • 160.238.37[.]95 (KR) - Nord VPN
    • 160.238.37[.]100 (KR) - Nord VPN

    상기 정보는 위협 행위자가 스피어피싱 공격 수행 및 공격 인프라 구축, 운영 과정에서 사용한 것으로 확인된 침해지표의 일부이며, 향후 동일 또는 유사한 공격 활동 탐지 및 대응에 활용될 수 있습니다.

    또한 식별된 IP 주소를 분석한 결과, 일부는 NordVPN 및 Astrill VPN과 같은 상용 VPN 서비스의 출구(Exit) 노드로 확인되었습니다. 이는 위협 행위자가 VPN 서비스를 경유하여 실제 접속지(Origin IP)를 은닉한 상태에서 공격을 수행한 것으로 판단됩니다.

     

    [그림 3-2] IP 정보 조회 화면

    [그림 3-2] IP 정보 조회 화면

     

    아울러 2025년 HWP 기반 DLL 사이드 로딩 공격 기법을 사용한 Operation Artemis에서 확인된 RokRAT 샘플과 본 Operation Capsule Vault 변종을 비교 분석한 결과, 내부 함수의 호출 흐름, 명령 처리 구조, 문자열 복호화 방식, 클라우드 C2 운용 방식 및 주요 기능 구현에서 전반적으로 높은 수준의 코드 유사성이 확인되었습니다.

     

    [그림 3-3] RokRAT 유사도 비교 화면

    [그림 3-3] RokRAT 유사도 비교 화면

     

    이러한 분석 결과는 본 변종이 기존 RokRAT 계열과 동일한 계열의 코드베이스를 기반으로 개발되었으며, 기존 소스코드 또는 핵심 모듈을 재사용하여 제작되었을 가능성을 뒷받침합니다.

    특히 내부 함수의 호출 흐름, 명령 처리 구조, 문자열 복호화 방식, 클라우드 기반 C2 운용 방식, 파일 수집 및 페이로드 실행 기능 등 주요 구성 요소에서 기존 RokRAT 계열과 높은 수준의 코드 유사성이 확인되었습니다.

    물론 코드 유사성만으로 동일한 개발자 또는 동일한 위협 행위자에 의해 제작되었다고 단정하기는 어렵습니다.

    위협 귀속은 악성코드 코드베이스뿐만 아니라 공격 인프라, 운영 계정, 클라우드 C2 구성, 침해지표(IoC), TTP(Tactics, Techniques and Procedures), 피해 대상, 캠페인 연관성 및 기타 CTI(Cyber Threat Intelligence) 정보를 종합적으로 검토하여 판단해야 합니다.

    본 분석에서는 기존 RokRAT 계열과의 높은 코드 유사성뿐만 아니라, pCloud, Dropbox, Yandex를 활용한 클라우드 기반 C2 구조, 동일한 Yandex 계정의 지속적인 운용 정황, Yandex OAuth Token 운용 방식, 과거 Operation Artemis에서 확인된 RokRAT와의 코드 및 기능적 유사성, 그리고 확인된 공격 인프라와 TTP 등을 종합적으로 비교, 분석하였습니다.

    이러한 기술적 근거를 종합적으로 고려할 때, Operation Capsule Vault는 APT37 그룹이 수행했을 가능성이 매우 높은 것으로 평가됩니다.

     

    4. 결론 및 대응 (Conclusion)


    4-1. 위협 분석 결론

    이번 보고서에서는 새로운 표적형 공격 캠페인의 전체 공격 체인을 분석하였습니다.

    본 공격은 실제 학술행사 자료집 배포를 사칭한 스피어피싱 이메일을 통해 사용자의 실행을 유도한 뒤, PDF 문서로 위장한 PIF 실행파일 내부에 정상 문서와 악성 페이로드를 함께 내장하는 다단계 로더 구조를 이용하는 것이 가장 큰 특징입니다.

    사용자는 정상 학술자료를 열람하는 것으로 인식하지만, 백그라운드에서는 임베디드 페이로드가 순차적으로 추출되고 프로세스 인젝션을 거쳐 최종적으로 RokRAT이 메모리에서 실행되는 구조가 확인되었습니다.

    지니언스 시큐리티 센터는 이처럼 하나의 실행파일 내부에 정상 문서와 복수의 악성 객체를 함께 저장한 후 실행 시 이를 순차적으로 활용하는 구조적 특징을 반영하여 본 공격을 Operation Capsule Vault로 명명하였습니다.

    이번 공격은 기존 RokRAT 계열에 실제 학술행사를 악용한 사회공학 기법과 임베디드 로더 구조를 결합하여 탐지 회피 능력을 한층 강화한 사례로 평가됩니다.

    특히 정상 문서와 악성 페이로드를 하나의 실행파일 내부에 함께 저장한 후 메모리에서 순차적으로 처리하는 구조는 향후 유사한 표적형 공격에서도 지속적으로 활용될 가능성이 높습니다.

    따라서 IoC 기반 탐지뿐 아니라 스피어피싱 메일, ISO 기반 유포, PIF 실행, 프로세스 실행 흐름, 클라우드 기반 C2 통신, 메모리 기반 페이로드 실행 등 공격 전 과정을 연계하여 탐지할 수 있는 행위 기반 대응 체계를 함께 강화할 필요가 있습니다.

     

    4-2. 'Genian Insights E' 기반 통합 대응 전략

    본 위협은 실제 학술행사 자료집 배포를 사칭한 스피어피싱 이메일을 시작으로 Dropbox를 이용한 ISO 이미지 유포, PDF 문서로 위장한 PIF 실행파일, 임베디드 페이로드 추출, Shellcode 복호화, explorer.exe 프로세스 인젝션, 클라우드 기반 RokRAT 실행까지 이어지는 다단계 공격 체인으로 구성되어 있습니다.

    특히 사용자는 정상 PDF 문서를 열람하는 것으로 인식하지만, 백그라운드에서는 임베디드 페이로드가 메모리에서 순차적으로 복원되고 explorer.exe 프로세스에 인젝션된 RokRAT이 클라우드 기반 C2와 통신하며 정보 수집 및 원격 명령을 수행합니다. 이러한 구조는 정상 프로세스와 정상 클라우드 서비스를 함께 활용하므로 단순 파일 기반 또는 네트워크 기반 탐지만으로는 전체 공격 흐름을 식별하기 어려운 특징을 가집니다.

    그러므로 초기 유입부터 ISO 이미지 실행, PIF 기반 로더 동작, 클라우드 C2 통신 및 정보 수집 행위까지 전체 공격 체인을 가시화하고, 각 이벤트 간 상관관계를 기반으로 위협 행위를 분석, 차단할 수 있는 EDR(Endpoint Detection and Response) 중심의 통합 대응 체계가 필요합니다.

    'Genian Insights E'는 단일 에이전트 기반의 통합 엔드포인트 보안 플랫폼으로, Operation Capsule Vault와 같은 다단계 표적형 공격에 대해 다음과 같은 행위 기반 탐지 및 대응 기능을 제공합니다.

    EDR은 공격 전 과정을 행위 기반으로 추적·분석할 수 있으며, 본 사례에서는 다음과 같은 주요 행위를 연계하여 식별할 수 있습니다.

    • 스피어피싱 이메일을 통한 ISO 이미지 파일 실행
    • PDF 문서로 위장한 PIF 실행파일 실행 (이중 확장자 트릭 기법)
    • pCloud, Dropbox, Yandex 등 클라우드 기반 C2 통신

    특히 Genian Insights E는 단순 프로세스 생성 이벤트만 제공하는 것이 아니라 부모-자식 프로세스 관계(Process Tree), 명령행(Command Line), 파일 생성, 메모리 행위, DLL 로딩, 원격 스레드 생성, 프로세스 인젝션, 네트워크 연결 등의 다양한 이벤트를 통합적으로 분석하여 공격 흐름 전체를 가시화할 수 있습니다.

     

    [그림 4-1] EDR을 통해 이중 확장자 트릭 실행을 탐지한 모습

    [그림 4-1] EDR을 통해 이중 확장자 트릭 실행을 탐지한 모습

     

    또한 ISO 이미지 내부에서 실행된 PIF 파일을 시작으로, XBA(이상행위분석) 탐지 엔진을 통해 PDF로 위장한 260612(자료집-내지)동북아-원산갈마해안.pdf.pif의 이중 확장자(Double Extension) 기법을 탐지할 수 있습니다.

     

    [그림 4-2] Machine Learning으로 탐지된 화면

    [그림 4-2] Machine Learning으로 탐지된 화면

    더불어 악성 파일은 EDR에 탑재된 Machine Learning(ML) 엔진을 통해 다양한 악성 행위 특징을 종합적으로 분석한 결과, 매우 높은 악성 가능성(ML.High)으로 분류되어 초기 실행 단계에서 즉각적인 위협으로 탐지됩니다.

    이를 통해 알려진 악성코드 여부와 관계없이 유사한 특성을 갖는 신규 변종이나 미공개(Unknown) 악성코드에 대해서도 높은 신뢰도로 탐지할 수 있으며, 시그니처 기반 탐지만으로 식별하기 어려운 표적형 공격에 대해서도 효과적인 선제 대응이 가능합니다.

     

    [그림 4-3] Yandex C2 접속 시도 화면

    [그림 4-3] Yandex C2 접속 시도 화면

    이와 같은 행위 기반 분석 정보를 통해 EDR 관리자는 스피어피싱 이메일을 통한 초기 침투부터 Yandex Cloud C2 통신에 이르는 전체 공격 체인을 직관적으로 추적할 수 있습니다.

    이를 통해 위협을 신속하고 정확하게 식별할 수 있을 뿐만 아니라, 위협 행위자의 침투 과정과 후속 행위를 종합적으로 분석하여 효과적인 대응 및 사고 대응 방안을 수립할 수 있습니다.

    또한 파일 생성 및 네트워크 연결 정보를 연계하여 제공하므로, 개별 이벤트가 아닌 공격 체인 전체를 기반으로 위협을 분석하고 대응할 수 있으며, 유사한 변종 공격에 대해서도 보다 효과적인 탐지와 대응이 가능합니다.



    5. IoC (Indicator of Compromise) 

    •  MD5

      e5c9bb3938f2a24e755ee39073fc3aca

       

    • C2

    5.180.208[.]57

    5.180.208[.]60

    89.147.101[.]197

    89.187.161[.]220

    160.238.37[.]95

    160.238.37[.]100