정부와 외교 기관을 겨냥한 APT 공격이 감시와 탈취 기능을 결합한 형태로 진화하고 있다. 보안업계는 정상 프로그램을 악용한 침투와 계정·문서 유출을 동반하는 공격이 늘면서, 조직 차원의 선제적 탐지와 대응 체계가 중요해졌다고 보고 있다.

카스퍼스키는 2026년 2월 4일 자사 글로벌 연구 분석팀(GReAT)의 분석 결과를 통해 허니마이트(HoneyMyte) APT가 정보 탈취 역량을 강화한 정황을 확인했다고 밝혔다.

연구진에 따르면 허니마이트는 동남아시아 정부 및 외교 기관에서 민감한 정치·전략 정보를 노린 것으로 알려진 공격 그룹으로, 최신 캠페인에서는 미얀마, 몽골, 말레이시아, 태국, 러시아의 정부 부문을 주요 표적으로 삼았다. 이 과정에서 CoolClient 백도어에 신규 기능을 추가하고, 브라우저 로그인 데이터 탈취기 변종과 정찰·탈취용 스크립트를 함께 사용한 것으로 파악됐다.

공격 방식의 핵심은 DLL 사이드로딩(정상 실행 파일이 악성 DLL을 함께 로드하도록 유도하는 기법)이다. 카스퍼스키는 위협 행위자가 2021년부터 2025년까지 다양한 합법 소프트웨어에 포함된 서명된 바이너리를 악용해 왔으며, 최근 캠페인에서는 Sangfor의 서명된 애플리케이션이 활용됐다고 설명했다. 또 CoolClient의 최신 버전은 PlugX, LuminousMoth와 함께 보조 백도어로 배포되는 사례도 관찰됐다고 덧붙였다.

기술적으로는 클립보드 모니터링과 활성창 추적 기능이 추가돼, 클립보드 내용뿐 아니라 활성 애플리케이션의 창 제목, 프로세스 ID, 타임스탬프까지 수집할 수 있는 것으로 나타났다. 네트워크 트래픽에서 HTTP 프록시 자격 증명을 추출하는 기능도 확인됐는데, 이는 허니마 (HoneyMyte) 계열 악성코드에서 새롭게 관찰된 기법이라는 설명이다. 연구진은 실제 사용 중인 복수의 CoolClient 플러그인을 확인해, 커스텀 플러그인 기반의 기능 확장 구조도 드러났다고 밝혔다. 침해 이후 단계에서는 새로운 크롬 자격 증명 탈취 악성코드가 사용됐고, ToneShell 캠페인 샘플과 코드 유사성이 관찰됐다.

카스퍼스키 GReAT 보안 연구원 파리드 라지는 키로깅, 클립보드 모니터링, 프록시 자격 증명 탈취, 문서 유출, 브라우저 자격 증명 수확, 대규모 파일 탈취 등 능동적 감시가 APT 전술의 표준이 됐으며, 전통적인 위협과 같은 수준의 대비와 선제적 방어가 요구된다고 말했다. 카스퍼스키 한국지사장 이효은은 국내에서도 공격 방식이 진화하며 위협 환경이 복잡해지고 있다며, 종합적이고 선제적인 방어 체계 구축이 필요하다고 밝혔다.