4.1. 가짜 Webex 미팅 페이지

2026년 4월에는 Kimsuky가 Cisco의 온라인 미팅 서비스인 Webex를 사칭한 가짜 페이지를 통해 악성코드를 유포한 사례가 확인되었다. 특히 해당 공격에 사용된 가짜 미팅 페이지가 특정 인물들이 실제로 참가 예정인 미팅을 기반으로 제작되었다. 이는 공격자가 사전에 미팅 정보를 획득하여 악성코드를 유포한 가능성이 높다. 아래 URL에서 확보한 html 코드를 실행하면 블러 처리된 미팅 입장 페이지 배경의 로딩 UI가 나타난다.

• URL: hxxps://conference.birdriver[.]org/

caption - 가짜 미팅 입장 페이지

가짜 미팅 페이지는 접속 5초 후에 카메라 패치 스크립트를 설치 후 실행하라는 문구를 표시하며 확인 버튼을 누르도록 유도한다. 확인 버튼을 누르면 jse 파일이 포함된 egg 압축 파일이 다운로드된다. URL의 엔드포인트와 파라미터 구성이 보안 프로그램 위장 사례의 가짜 설치 페이지에 사용된 URL과 동일하다.

• URL: hxxps://download.birdriver[.]org/download.php?id=425623

caption - 악성코드 다운로드 유도 버튼

다운로드한 jse 파일 실행 시 최종적으로 변종 HttpSpy가 시스템에 설치된다. 악성코드와 함께 생성 및 실행되는 meeting.html는 피해자를 Webex 미팅 방으로 리다이렉트 한다.

리다이렉트 URL 접속 시 정상 Webex 미팅 방이 나타난다. 해당 미팅은 악성코드 유포 시기에 예정되어 있던 실제 미팅 일정인 것으로 확인되었다. 이러한 사실로부터 공격자가 특정 미팅 참석 예정자의 PC 또는 계정을 침해해 미팅 정보를 획득한 뒤, 미팅 참석자들에게 악성코드를 유포하기 위해 가짜 미팅 페이지를 만든 것으로 보인다.

caption - 정상 Webex 미팅 입장 페이지

4.2. jse 드로퍼 및 다운로더

4.2.1. fix-camera.jse

fix-camera.jse는 base64 인코딩 상태로 포함된 악성코드와 미끼 html 파일을 각각 C:\ProgramData\mTSTCv8.mdxm, C:\ProgramData\meeting.html 경로에 생성하고 실행한다. jse 스크립트는 base64 인코딩 된 데이터를 쓰레기 변수에 할당하거나, 문자열을 슬라이싱 해 "+" 연산으로 조합하는 등 여러 난독화 방식이 적용되어 있다.

caption - 난독화된 jse 스크립트

이중 base64 인코딩 된 악성코드는 1회 디코딩 후 C:\ProgramData\mTXDZew.sz8f으로 생성되고, certutil로 다시 디코딩되어 최종적으로 C:\ProgramData\mTSTCv8.mdxm 파일로 저장된다. mTSTCv8.mdxm은 아래 명령어를 통해 실행된다.

• powershell.exe -windowstyle hidden regsvr32.exe /s C:\ProgramData\mTSTCv8.mdxm

4.2.2. mTSTCv8.mdxm (loadDll.dll)

mTSTCv8.mdxm은 C&C 서버에서 2차 악성코드를 다운로드하는 다운로더 악성코드이다. Export 파일명이 loadDll.dll이며, 아래와 같은 PDB 경로가 기록되어 있다.

• PDB 경로: C:\Users\jira\Documents\My_Received_Files\loadDll\x64\Release\loadDll.pdb

실행 직후 VM 환경 탐지 및 분석 도구 탐지를 하고, 하나라도 탐지된 경우 프로세스를 즉시 종료한다. 먼저 VM 탐지 루틴은 아래 두 레지스트리 값을 읽어와 "VMware", "VirtualBox" 문자열이 존재하는지 확인한다.

• HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemManufacturer

• HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemProductName

분석 도구 탐지는 현재 실행 중인 프로세스 목록과 현재 열려있는 모든 창 제목을 조회해 하드코딩된 특정 문자열이 포함되어 있는지 확인하는 방식으로 이루어진다. 탐지에 사용되는 모든 문자열 목록은 부록 D의 "분석 도구 탐지 목록" 참고 바란다. 최종적으로 아래 URL에서 추가 페이로드를 다운로드해 현재 프로세스 메모리에 로드하고 Play 익스포트 함수의 주소를 찾아 실행한다.

• URL : hxxps://download[.]birdriver[.]org/download.php?id=393156

caption - 악성코드 다운로드 및 실행 루틴

다운로드된 페이로드는 3단계의 설치 과정을 거쳐 최종적으로 피해 시스템에 HttpSpy 변종을 설치한다.

4.3. HttpSpy 변종 실행 체인

4.3.1. engine.dat (spyInster.dll)

loadDll.dll에 의해 다운로드된 engine.dat의 Export 파일명은 spyInster.dll이며, Export 파일명에서 알 수 있듯이 최종 악성코드인 HttpSpy를 피해 환경에 설치한다.

engine.dat에는 두 종류의 문자열 난독화가 적용되어 있다. 넓은 문자(wchar) 문자열은 각 문자에 고정 오프셋을 빼는 방식이며, 일반 문자열은 위치 인덱스를 포함한 키로 XOR하는 방식이다. 또한 engine.dat는 난독화된 API 문자열을 복원한 뒤 FNV-1a로 해시하고, 현재 로드된 모듈의 export 테이블 항목과 비교해 함수 포인터를 획득한다.

caption - wchar 문자열 난독화 루틴

caption - 일반 문자열 난독화 루틴

engine.dat 는 내부의 RC4 암호화된 악성코드를 복호화해 C:\Users\Public\cacheMon.dat 경로에 생성한다. 설정 데이터는 RC4 복호화해 cacheMon.dat에 DATA_CONF 보조 스트림(ADS)으로 추가한다. cacheMon.dat 및 ADS 설정 데이터 복호화에 사용되는 RC4 키는 아래와 같다.

• cacheMon.dat 복호화 RC4 키: %^fseRW#r3qwrwfsddREfGEgse)(14);

• ADS 복호화 RC4 키: RGdcsedfd@#%dg9ser3$#$^@34sdfxl

설정 데이터 추가 직전 rand() * rand() / 2로 계산된 32-bit 값을 설정 데이터의 오프셋 0x1228영역에 패치하는데, 이는 HttpSpy 메인 모듈에서 피해자 식별자로 사용된다. 마지막으로 자동 실행 레지스트리에 실행 명령어를 등록하고 regsvr32.exe를 이용해 C:\Users\Public\cacheMon.dat를 직접 실행한다. 등록되는 레지스트리 값과 데이터는 아래와 같다.

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MSEdgeUpdateInstaller = C:\Windows\System32\regsvr32.exe /s C:\Users\Public\cacheMon.dat

4.3.2. cacheMon.dat (spyLoader.dll)

engine.dat에 의해 생성된 cacheMon.dat는 Export 파일명이 spyLoader.dll인 HttpSpy 로더 악성코드이다. RC4 암호화된 HttpSpy 메인 모듈 데이터를 복호화해 현재 프로세스 메모리에 로드하고 hello export 함수 주소를 탐색해 실행한다. RC4 복호화에 사용되는 복호화 키는 아래와 같다.

• RC4 키: #RsfsetraW#@EsfesgsgAJOPj4eml;

caption - cacheMon.dat의 최종 페이로드 로드 루틴

4.3.3. HttpSpy 메인 모듈

최종 실행되는 악성코드는 Export Name이 httpSpy.dll인 RAT 악성코드이다. 2025년 5월 CJ Olivenetworks 인증서 악용 공격에 사용된 최종 악성코드와 Export 파일명이 동일하고, C&C 서버 통신 프로토콜 및 원격 명령 체계가 매우 유사하다. 컴파일 타임이 2025년 10월 15일로 기록되어 있어 이미 2025년 후반부터 공격에 사용된 악성코드일 것으로 추정된다.

메인 루프에서는 앞서 cacheMon.dat에 ADS로 추가되었던 설정 데이터에서 C&C 서버 URL을 로드하고, HTTP POST 요청으로 원격 명령을 수신한다. 설정 데이터의 +0x410(1040) 오프셋에 프록시 주소가 설정되어 있으면 해당 프록시를 통해 통신하며, 프록시 bypass 주소로 2[.]2[.]2[.]2를 사용한다. 분석된 악성코드의 설정 데이터는 아래 표와 같다.

| 오프셋 | 크기 | 용도 | 초기 값 |
| --- | --- | --- | --- |
| +0 | 520 | 1차 C&C URL (wide string) | hxxp://hdrgdrfes[.]chickenkiller[.]com/index.php |
| +520 | 520 | 2차 C&C URL (wide string) | (비어 있음) |
| +1040 | 520 | 프록시 주소 (wide string) | (비어 있음) |
| +1560 | 520 | HTTP 인증 사용자명 (wide string) | (비어 있음) |
| +2080 | 520 | HTTP 인증 비밀번호 (wide string) | (비어 있음) |
| +2600 | 2048 | 미사용 영역 |  |
| +4648 | 4 | 세션 ID (DWORD) | rand()*rand()/2

| 오프셋 | 크기 | 용도 | 초기 값 |
| --- | --- | --- | --- |
| +0 | 520 | 1차 C&C URL (wide string) | hxxp://hdrgdrfes[.]chickenkiller[.]com/index.php |
| +520 | 520 | 2차 C&C URL (wide string) | (비어 있음) |
| +1040 | 520 | 프록시 주소 (wide string) | (비어 있음) |
| +1560 | 520 | HTTP 인증 사용자명 (wide string) | (비어 있음) |
| +2080 | 520 | HTTP 인증 비밀번호 (wide string) | (비어 있음) |
| +2600 | 2048 | 미사용 영역 |  |
| +4648 | 4 | 세션 ID (DWORD) | rand()*rand()/2

| 오프셋 | 크기 | 용도 | 초기 값 |
| --- | --- | --- | --- |
| +0 | 520 | 1차 C&C URL (wide string) | hxxp://hdrgdrfes[.]chickenkiller[.]com/index.php |
| +520 | 520 | 2차 C&C URL (wide string) | (비어 있음) |
| +1040 | 520 | 프록시 주소 (wide string) | (비어 있음) |
| +1560 | 520 | HTTP 인증 사용자명 (wide string) | (비어 있음) |
| +2080 | 520 | HTTP 인증 비밀번호 (wide string) | (비어 있음) |
| +2600 | 2048 | 미사용 영역 |  |
| +4648 | 4 | 세션 ID (DWORD) | rand()*rand()/2

caption - HttpSpy 설정 데이터 구조

C&C 서버 통신 시 사용되는 파라미터와 값은 아래 표와 같다.

| 파라미터 | 값 |
| --- | --- |
| _sessionchk | ck_param_auto |
| _logininfo | login_ok - 명령 수신 / login_fail - 데이터 송신 |
| _pkgparam | 세션 ID (8자리 HEX) |
| _lockdata | 암호화 및 base64 인코딩 된 데이터

| 파라미터 | 값 |
| --- | --- |
| _sessionchk | ck_param_auto |
| _logininfo | login_ok - 명령 수신 / login_fail - 데이터 송신 |
| _pkgparam | 세션 ID (8자리 HEX) |
| _lockdata | 암호화 및 base64 인코딩 된 데이터

| 파라미터 | 값 |
| --- | --- |
| _sessionchk | ck_param_auto |
| _logininfo | login_ok - 명령 수신 / login_fail - 데이터 송신 |
| _pkgparam | 세션 ID (8자리 HEX) |
| _lockdata | 암호화 및 base64 인코딩 된 데이터

caption - HttpSpy C&C 통신 파라미터

통신 시 송수신하는 데이터는 아래 RC4 키로 암호화 후 Base64 인코딩 된다.

• RC4 키: RGdcsedfd@#%dg9ser3$#$^@34sdfxl

명령 코드에 따른 기능은 아래 표와 같다.

| 명령 코드 | 동작 |
| --- | --- |
| d | 셸 명령 실행 후 ANSI 출력을 Unicode로 변환해 C&C 서버로 전송 |
| e  | C&C 서버에서 파일 다운로드 |
| f | 지정 파일을 384KB 청크 단위로 C&C 서버로 업로드 |
| g  | CreateProcessW로 지정 명령을 숨김 창으로 실행 |
| h | 지정 WTS 세션에서 프로세스 실행 |
| i | 지정 파일을 0x5F 패턴으로 덮어쓴 후 파일명을 임의 소문자로 수정하고 삭제 |
| j | GDI 전체화면을 BMP 캡처해 RC4 암호화 후 C&C 서버로 업로드 |
| k | 내부 설정 버퍼를 C&C 서버로 전송 |
| l | C&C 서버에서 새 설정 데이터를 수신해 ADS 갱신 |
| m | 지정 IP:Port로 TCP connect 테스트 수행 |
| n | 지정 시간(시간 단위)만큼 Sleep |
| o | 소스 파일의 타임스탬프를 대상 파일에 복사  |
| p | 자기 자신을 삭제하고 지속성 항목을 제거한 후 종료 (언인스톨) |
| q | 아무 동작도 수행하지 않음 |
| r | 셸 명령 실행 후 바이너리 출력 그대로 C&C 서버로 전송 |
| s | 지정 PID 프로세스에 DLL 경로를 주입 (Remote DLL Injection)

| 명령 코드 | 동작 |
| --- | --- |
| d | 셸 명령 실행 후 ANSI 출력을 Unicode로 변환해 C&C 서버로 전송 |
| e  | C&C 서버에서 파일 다운로드 |
| f | 지정 파일을 384KB 청크 단위로 C&C 서버로 업로드 |
| g  | CreateProcessW로 지정 명령을 숨김 창으로 실행 |
| h | 지정 WTS 세션에서 프로세스 실행 |
| i | 지정 파일을 0x5F 패턴으로 덮어쓴 후 파일명을 임의 소문자로 수정하고 삭제 |
| j | GDI 전체화면을 BMP 캡처해 RC4 암호화 후 C&C 서버로 업로드 |
| k | 내부 설정 버퍼를 C&C 서버로 전송 |
| l | C&C 서버에서 새 설정 데이터를 수신해 ADS 갱신 |
| m | 지정 IP:Port로 TCP connect 테스트 수행 |
| n | 지정 시간(시간 단위)만큼 Sleep |
| o | 소스 파일의 타임스탬프를 대상 파일에 복사  |
| p | 자기 자신을 삭제하고 지속성 항목을 제거한 후 종료 (언인스톨) |
| q | 아무 동작도 수행하지 않음 |
| r | 셸 명령 실행 후 바이너리 출력 그대로 C&C 서버로 전송 |
| s | 지정 PID 프로세스에 DLL 경로를 주입 (Remote DLL Injection)

| 명령 코드 | 동작 |
| --- | --- |
| d | 셸 명령 실행 후 ANSI 출력을 Unicode로 변환해 C&C 서버로 전송 |
| e  | C&C 서버에서 파일 다운로드 |
| f | 지정 파일을 384KB 청크 단위로 C&C 서버로 업로드 |
| g  | CreateProcessW로 지정 명령을 숨김 창으로 실행 |
| h | 지정 WTS 세션에서 프로세스 실행 |
| i | 지정 파일을 0x5F 패턴으로 덮어쓴 후 파일명을 임의 소문자로 수정하고 삭제 |
| j | GDI 전체화면을 BMP 캡처해 RC4 암호화 후 C&C 서버로 업로드 |
| k | 내부 설정 버퍼를 C&C 서버로 전송 |
| l | C&C 서버에서 새 설정 데이터를 수신해 ADS 갱신 |
| m | 지정 IP:Port로 TCP connect 테스트 수행 |
| n | 지정 시간(시간 단위)만큼 Sleep |
| o | 소스 파일의 타임스탬프를 대상 파일에 복사  |
| p | 자기 자신을 삭제하고 지속성 항목을 제거한 후 종료 (언인스톨) |
| q | 아무 동작도 수행하지 않음 |
| r | 셸 명령 실행 후 바이너리 출력 그대로 C&C 서버로 전송 |
| s | 지정 PID 프로세스에 DLL 경로를 주입 (Remote DLL Injection)

caption - HttpSpy 원격 명령 코드

명령 코드 d와 r은 인자가 cd로 시작하면 SetCurrentDirectoryW로 작업 디렉토리를 변경하고 변경된 경로를 C&C 서버에 전송한다. cd 이외의 명령은 cmd.exe /c로 실행해 표준 출력을 %TEMP%\NK[0-9a-fA-F]+\.tmp 파일로 리다이렉트하여 수집한 후 C&C로 전송한다.

caption - 일반 명령어 처리 루틴

명령 코드 j로 캡처된 BMP 데이터는 %TEMP%JG[0-9a-fA-F]{4}\.tmp 임시 파일에 저장된 후 C&C 서버로 업로드되고, 업로드 완료 후 삭제된다.

caption - 스크린샷 파일 저장 경로

4.4. 추가 보안프로그램 위장 페이지

가짜 미팅 페이지를 확인한 C&C 서버에서 새로운 형태의 보안 프로그램 설치 페이지 위장 html 파일 2종이 확인되었다. 두 페이지는 공통적으로 C&C 서버에 주기적 폴링을 수행하며, 응답 값에 따라 개인정보 입력 폼 생성, 트래킹 픽셀 삽입, 리다이렉션 작업 중 하나를 수행한다. 각 html 파일의 세부 정보는 아래 표와 같다.

| **파밍명** | 보안 검사.html | 보안프로그램 확인.html |
| --- | --- | --- |
| MD5 | be978477fe7c179cb9607a6e08a05dff | 8833a270ddef0f464d5916958b6778e6 |
| 위장 기관 | 국민건강보험공단 | DB손해보험 |
| 식별자 | gateless | gateless |
| User-Agent 기반 모바일 환경 탐지 | O | X |
| 폴링 주기 | 3초 | 5초 |
| 폴링 URL | hxxps://pipeline[.]embeddedonline[.]org/check.php?x-csrf-token=gateless | hxxps://pipeline[.]embeddedonline[.]org/check.php?x-csrf-token=gateless |
| 트래킹 픽셀 URL | hxxps://appview[.]imagetemplate[.]com/gateless_icon<카운터>.png | hxxps://appview[.]imagetemplate[.]com/gateless_icon<카운터>.png |
| 수행 기능 | 트래킹 픽셀 삽입-n피해자 리다이렉션 | 악성코드 유포-n악성코드 실행 여부 확인-n트래킹 픽셀 삽입 |
| 악성코드 다운로드 URL | 해당 없음 | hxxps://pipeline[.]embeddedonline[.]org/download3.php?sessid=54126&user-token=gateless |

| **파밍명** | 보안 검사.html | 보안프로그램 확인.html |
| --- | --- | --- |
| MD5 | be978477fe7c179cb9607a6e08a05dff | 8833a270ddef0f464d5916958b6778e6 |
| 위장 기관 | 국민건강보험공단 | DB손해보험 |
| 식별자 | gateless | gateless |
| User-Agent 기반 모바일 환경 탐지 | O | X |
| 폴링 주기 | 3초 | 5초 |
| 폴링 URL | hxxps://pipeline[.]embeddedonline[.]org/check.php?x-csrf-token=gateless | hxxps://pipeline[.]embeddedonline[.]org/check.php?x-csrf-token=gateless |
| 트래킹 픽셀 URL | hxxps://appview[.]imagetemplate[.]com/gateless_icon<카운터>.png | hxxps://appview[.]imagetemplate[.]com/gateless_icon<카운터>.png |
| 수행 기능 | 트래킹 픽셀 삽입-n피해자 리다이렉션 | 악성코드 유포-n악성코드 실행 여부 확인-n트래킹 픽셀 삽입 |
| 악성코드 다운로드 URL | 해당 없음 | hxxps://pipeline[.]embeddedonline[.]org/download3.php?sessid=54126&user-token=gateless |

| **파밍명** | 보안 검사.html | 보안프로그램 확인.html |
| --- | --- | --- |
| MD5 | be978477fe7c179cb9607a6e08a05dff | 8833a270ddef0f464d5916958b6778e6 |
| 위장 기관 | 국민건강보험공단 | DB손해보험 |
| 식별자 | gateless | gateless |
| User-Agent 기반 모바일 환경 탐지 | O | X |
| 폴링 주기 | 3초 | 5초 |
| 폴링 URL | hxxps://pipeline[.]embeddedonline[.]org/check.php?x-csrf-token=gateless | hxxps://pipeline[.]embeddedonline[.]org/check.php?x-csrf-token=gateless |
| 트래킹 픽셀 URL | hxxps://appview[.]imagetemplate[.]com/gateless_icon<카운터>.png | hxxps://appview[.]imagetemplate[.]com/gateless_icon<카운터>.png |
| 수행 기능 | 트래킹 픽셀 삽입-n피해자 리다이렉션 | 악성코드 유포-n악성코드 실행 여부 확인-n트래킹 픽셀 삽입 |
| 악성코드 다운로드 URL | 해당 없음 | hxxps://pipeline[.]embeddedonline[.]org/download3.php?sessid=54126&user-token=gateless |

caption - 추가 보안프로그램 위장 페이지 비교

두 html 파일 모두 접속 시 "보안프로그램 검사 중" 문구와 함께 로딩 화면을 표시한다.

caption - 신규 보안 프로그램 검사 위장 페이지 1

caption - 신규 보안 프로그램 검사 위장 페이지 2

보안프로그램 확인.html에는 악성코드 실행 여부를 확인하는 JSONP 로직이 존재한다. 본 글에서는 유포 페이지가 JSONP를 이용해 로컬 서버와 통신해 악성코드 실행 여부를 확인하는 이 기법을 JSONPing으로 명명한다. 유포 페이지는 "vp20_" + Date.now() 형식의 고유한 전역 콜백 함수를 window 객체에 등록하고, 이를 callback 파라미터로localhost:16106에 요청하는 <script> 태그를 DOM에 삽입한다.

caption - JSONPing 콜백 함수 등록 루틴

브라우저는 <script> 태그에 SOP를 적용하지 않으므로 악성코드가 구축한 로컬 서버로 GET 요청이 전송되며, 응답이 스크립트로 실행되면 사전 등록된 콜백이 호출되어 반환 객체의 res 값을 검사한다. 값이 0이면 악성코드가 실행 중인 것으로 판단한다.

caption - JSONPing 요청 루틴

JSONPing 확인 결과 악성코드가 미실행 상태일 때 설치 유도 팝업을 표시하고, 확인 버튼 클릭 시 downloadProgram 함수를 호출해 악성코드 다운로드 및 실행을 유도한다. 그러나 분석 당시 악성코드 다운로드 URL이 비활성화되어 이후 공격 체인은 확보할 수 없었다.

caption - downloadProgram 호출 시 나타나는 보안 프로그램 설치 유도 팝업