베트남 위협행위자의 PyChain 캠페인 : 저작권 경고 이메일로 시작한 글로벌 피싱의 기술적 진화
“귀하의 저작권 침해가 확인되었습니다.” 한 줄로 시작되는 이메일이 최근 기업 담당자들의 수신함에 자주 들어오고 있습니다. 겉으로는 법적 경고처럼 보이지만, 실제로는 피싱 공격의 출발
blog.alyac.co.kr
[1] 공격의 시작
“귀하의 저작권 침해가 확인되었습니다.” 같은 법적 경고 이메일로 피싱이 시작됨
- 겉보기에는 정상적인 안내처럼 보이지만 실제로는 피싱 공격의 출발점이라고 함
- 이는 베트남 국가의 공격자(LoneNone)가 수행
- 또한 Python 기반 다단계 공격이라서 PyChain이라고 명명함
[2] 공격의 흐름
1. 이메일 수신 (저작권 침해 경고 내용)
이메일 본문에는 위반 내용 확인, 법적 조치 안내 등을 이유로 PDF 또는 문서 링크가 포함되어 있음.
2. 링크 클릭
3. ZIP 파일 다운로드
4. 압축 해제 후 내부 실행파일, EXE 실행
5. 악성코드 실행 시작
초기 침투는 이렇게 압축 해제 및 내부 파일 실행 단계로 이루어지고, 사용자 실행 시점 이후에는 DLL 사이드로딩을 통한 1차 로더, 2차 페이로더 다운로드 등이 이어짐
[3] 상세 코드 분석
피싱 이메일을 통해 다운로드 받은 ZIP파일을 보면 exe파일을 제외하고는 모든 파일이 숨김 처리로 설정되어 있었음
이렇게 정상적으로 보이는 exe파일은 PDF 문서로 위장한 파일로, 정상 Adobe 파일임
이 파일이 실행되면 숨겨진 DLL이 로드됨 (DLL 사이드로딩)
이후 추가 파일 다운로드 후 실행하고 Python 스크립트로 악성코드 동작함
이를 통해 여러 단계로 나뉜 다단계 공격 구조를 확인할 수 있음. 또한 탐지를 피하기 위해 계속해서 회피하는 모습을 볼 수 있음.
[4] C2 통신 방법
- Telegram Bot 이용
- URL 단축 서비스 거쳐서 서버 연결
- 추가 악성코드 계속 다운로드
[5] 실제 피해(악성코드의 역할)
- 브라우저 계정 정보 탈취 (로그인, 쿠키 등)
- 암호화폐 지갑 정보 탈취
- 광고 계정 정보 탈취
- 추가 악성코드 설치
'SWUFORCE > 기술 보고서' 카테고리의 다른 글
| AI 열풍 뒤의 그림자: Claude 모듈로 위장한 악성코드 (0) | 2026.05.04 |
|---|---|
| CVE-2025-14847(Mongobleed) 심층 분석 (0) | 2026.03.30 |
| 통신사와 카드사 보안사고를 통해 본 정보보안 현황과 대응 전략 (0) | 2026.02.23 |
| 피지컬 AI(Physical AI)란 무엇인가요? (0) | 2026.02.05 |
| AI 전환(AX)의 시대, 우리가 마주한 현실과 질문들 (0) | 2026.01.27 |