북한 APT37이 Facebook 계정 2개로 방산 타깃에 접근해 조작된 PDF 설치파일로 RokRAT을 심은 캠페인 전 과정 분석. PE 패칭 기법과 Zoho WorkDrive C2 은폐 전술 포함.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
APT37이 Facebook 친구 요청으로 방산 연구자를 접촉한 날은 2025년 11월이었다. 계정 이름은 "richardmichael0828"과 "johnsonsophia0414". 위치는 평양과 평성으로 설정되어 있었다. 이 계정들은 방어 무기 기술에 관심 있는 인물들에게 접근해 몇 주에 걸쳐 신뢰를 쌓았다.
대화가 자연스럽게 흘러가면 Telegram으로 이동한다. 그리고 암호화된 군사 문서를 보내겠다고 했다. 파일을 열려면 전용 PDF 뷰어가 필요하다는 안내와 함께 ZIP 파일이 도착한다.
그 ZIP 안에 RokRAT가 들어 있었다.
이 수법이 까다로운 이유는 세 가지가 겹친다. 이메일 검사를 우회하고, 정상 설치 파일을 매개체로 쓰고, C2 통신이 기업 클라우드 트래픽과 구별되지 않는다. 한국 공공·방산 환경에서 범용 PDF 도구로 쓰이는 Wondershare PDFelement를 감염 매개체로 선택한 것도 우연이 아니다. 탈취 대상에는 HWP 파일이 명시적으로 포함되어 있다.
APT37(ScarCruft)은 2012년부터 활동한 북한 연계 첩보 조직으로, 한국 정부·군·언론을 주요 표적으로 삼아왔다. 2024년 광고 팝업 익스플로잇, 2025년 Ruby Jumper USB 캠페인에 이어 이번이 세 번째 주목할 만한 변화다.
달라진 점은 초기 접근 벡터다. 이전까지 스피어피싱 이메일이 주 경로였다면, 이번에는 Facebook에서 신뢰를 쌓은 뒤 Telegram으로 이동해 페이로드를 전달한다. 이메일 보안 장비를 통째로 우회한다.
두 계정 모두 2025년 11월 10일 동일한 날 생성됐다. 방산 무기 기술을 주제로 대화를 시작해 신뢰를 구축한 뒤 Telegram으로 이동한다. 이메일 기반 스피어피싱은 탐지 패턴이 이미 알려져 있다. 소셜미디어는 그 우회로다.
Telegram에서 전달된 ZIP에는 군사 주제 PDF 4개, 설치 안내 텍스트, 그리고 조작된 Wondershare PDFelement 설치 파일이 들어 있다. PDF를 열려면 이 뷰어를 설치해야 한다는 안내를 따르면 감염된다.
이번 캠페인의 기술적 핵심이다. 공격자는 정상 설치 파일의 PE 진입점(0x00114103)을 악성 코드 주소(0x0015A0E0)로 교체했다. .text 섹션 끝의 빈 공간(코드 케이브)에 약 2KB의 셸코드를 심었다.
셸코드 실행 흐름은 다음과 같다.
%windir%\System32\dism.exe 경로를 런타임에 동적 구성VirtualAllocEx + WriteProcessMemory + CreateRemoteThread로 페이로드 주입사용자 화면에는 PDFelement가 멀쩡하게 설치된다. 감염은 눈에 보이지 않는다.
셸코드는 XOR 키 0x6D로 암호화된 URL을 복호화해 C2 서버(japanroom[.]com)에 접속한다. 다운로드 대상은 JPG 파일로 위장된 2단계 페이로드다. 파일명은 1288247428101.jpg.
JPG 내부의 실제 PE 파일은 MZ·PE 시그니처가 제거되어 있다. AV 서명 탐지를 피하기 위해서다. 셸코드의 내장 로더가 섹션 테이블과 임포트 테이블을 복원해 메모리에 올린다.
최종 페이로드인 RokRAT는 다음을 수행한다.
cmd.exe를 통한 원격 명령 실행수집된 데이터는 AES-256-CBC로 암호화된 뒤 Zoho WorkDrive의 OAuth2 API를 통해 유출된다. 바이너리에는 클라이언트 ID, 클라이언트 시크릿, 리프레시 토큰이 하드코딩되어 있다. 트래픽은 일반 기업 클라우드 사용과 구별되지 않는다. User-Agent는 21가지 문자열을 로테이션한다.
HWP는 한글과컴퓨터의 한국 전용 문서 형식이다. 탈취 목록에 HWP가 명시된다는 것은 한국 기관이 명확한 목표임을 뜻한다.
EDR이 있다면 다음 행위 패턴에 집중해야 한다.
| 탐지 대상 | 구체적 패턴 |
|---|---|
| 설치 프로세스의 비정상 자식 프로세스 | PDFelement → dism.exe 생성 |
| 프로세스 인젝션 | VirtualAllocEx + WriteProcessMemory + CreateRemoteThread 연속 호출 |
| 클라우드 API 비정상 접근 | 설치 직후 Zoho WorkDrive OAuth2 트래픽 |
| T번호 | 기법 |
|---|---|
| T1566.001 | Spearphishing Attachment |
| T1204.002 | User Execution: Malicious File |
| T1055 | Process Injection (dism.exe) |
| T1480.001 | Execution Guardrails: Environmental Keying |
| T1622 | Debugger Evasion |
| T1113 | Screen Capture |
| T1123 | Audio Capture |
| T1567.002 | Exfiltration to Cloud Storage |
| 유형 | 값 |
|---|---|
| 도메인 | japanroom[.]com |
| IP | 38.32.68[.]195, 222.122.49[.]15 |
| MD5 | c681fe3f42e82e9240afe97c23971cbc |
| MD5 | d44a22d2c969988a65c7d927e22364c8 |
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0