* 출처는 안랩입니다.
최근 ‘국제 안보 정세 평가와 26년 전망 보고서’로 위장한 악성 LNK(바로가기) 파일의 유포 정황이 확인됐다. 해당 파일은 실행 시 파워셸(PowerShell) 스크립트를 단계적으로 내려받아 시스템 정보를 수집하고 외부로 전송한다. 이후 최종적으로 XenoRAT 변종인 MoonPeak 악성코드를 메모리에 로드해 원격 제어 기능을 수행할 수 있다. 이번 공격은 과거 김수키(Kimsuky) 그룹의 LNK 기반 유포 방식과 유사한 특징을 보인다. 감염 흐름과 점검해야 할 항목을 함께 살펴보자.
안랩이 최근 "국제 안보 정세 평가와 26년 전망 보고서"로 위장한 LNK 파일을 통해 악성코드가 유포되는 정황을 확인했다. 확인된 파일명은 다음과 같다.
- 20260121_25년_국제안보정세_평가와_26년_전망.pdf.lnk
해당 LNK 파일을 실행하면, 내부에 포함된 난독화된 파워셸 스크립트가 복호화돼 %APPDATA%\firefox.ps1 경로에 저장된 뒤 실행된다. 이후 firefox.ps1 스크립트는 아래 주소에서 정상 디코이 문서를 다운로드해 %TEMP% 경로에 PDF 파일로 저장하고, 사용자가 실제 문서를 열어본 것처럼 보이도록 실행한다.
- 디코이 파일 다운로드: hxxps://raw.githubusercontent.com/ieesh65e/pongga/main/view[.]pdf
- 저장 파일명: 20260121_25년_국제안보정세_평가와_26년_전망.pdf
[그림 1] 정상 디코이 문서
* 전체내용은 아래에서 확인하세요.
![[2026 컴퓨텍스] 명가의 귀환, 시소닉이 컴퓨텍스에서 선보인 명품 파워 서플라이!](https://img.danawa.com/images/attachFiles/7/19/6018716_1.jpeg?shrink=320:180)
![[2026 컴퓨텍스] 더 화려하고 더 시원하게! 조텍 신형 그래픽카드 공개!!](https://img.danawa.com/images/attachFiles/7/19/6018715_1.jpeg?shrink=320:180)
![[2026 컴퓨텍스] 녹투아 긴장해라! 쿨링 장인 잘만이 컴퓨텍스에서 공개한 신작들](https://img.danawa.com/images/attachFiles/7/19/6018696_1.jpeg?shrink=320:180)
![[2026 컴퓨텍스] 과연 황회장이 선택한 노트북은~~~?](https://img.danawa.com/images/attachFiles/7/19/6018671_1.jpeg?shrink=320:180)
![[카카오] LG그램북x톡딜위크 한정 특가!](https://img.danawa.com/images/attachFiles/7/20/6019025_18.jpg?fitting=Large|140:105&crop=140:105;*,*)
