김수키(Kimsuky) 또는 APT37 그룹과 연계된 것으로 알려진 코니(Konni) APT 캠페인의 새로운 공격 정황이 포착됐습니다.
지니언스 시큐리티 센터(GSC)는 코니의 활동을 추적하는 과정에서, 한국의 카카오톡 메신저를 통해 악성파일이 대량으로 유포된 사실을 발견했습니다.
최근 확인된 코니 캠페인에서는, 한국 내 구글 안드로이드 기반 스마트폰 및 태블릿 PC가 원격으로 초기화되어 기기에 저장된 개인 데이터가 무단 삭제되는 피해가 발생한 점이 주목됩니다.
데이터 파괴 공격에 악용된 구글 '내 기기 허브(Find Hub)' 서비스는 도난·분실된 안드로이드 기기를 보호하기 위해 제공되는 기능입니다.
공격자는 탈취한 구글 계정으로 원격 제어 권한을 확보한 후, 내 기기 허브를 통해 기기 위치 추적 및 원격 초기화를 수행했습니다.
이처럼 단말 무력화와 계정 기반 전파를 결합한 공격은 기존 국가 배후 APT 공격 시나리오에서 전례가 없으며, 본 보고서를 통해 최초로 식별·분석됐습니다.
이는 공격의 전술적 성숙도와 탐지 회피 전략의 고도화를 입증하는 동시에, APT 전술 진화의 분기점을 보여주는 핵심 지표로 판단됩니다.