Arkanix Stealer가 단기간 AI 정보 탈취 실험으로 등장

Source: Bleeping Computer

소개

2025년 말 다크‑웹 포럼에서 홍보된 Arkanix Stealer라는 정보‑탈취 악성코드 운영은 AI‑지원 실험으로 개발된 것으로 보인다. 이 프로젝트에는 제어판과 Discord 서버가 포함되어 사용자가 소통했지만, 운영 시작 두 달 만에 저자는 사전 통보 없이 이를 내렸다.

Arkanix는 사이버 범죄자들이 익숙한 표준 데이터‑탈취 기능을 많이 제공했으며, 모듈식 아키텍처와 안티‑분석 기능을 갖추고 있었다.

Kaspersky 연구원들은 Arkanix stealer를 분석하면서 LLM‑지원 개발을 나타내는 단서를 발견했으며, 이는 “개발 시간과 비용을 크게 줄였을 가능성이 있다”고 밝혔다.

코딩에서 LLM 흔적의 징후 – Source: Kaspersky

연구원들은 Arkanix가 빠른 금전적 이익을 위한 단기 프로젝트였으며, 이 때문에 탐지와 추적이 훨씬 어려워진다고 판단한다.

Arkanix appears online

Arkanix는 2025년 10월 해커 포럼에서 홍보되기 시작했으며, 잠재 고객에게 두 가지 등급을 제공했습니다:

• Basic – Python 기반 구현.
• Premium – VMProtect로 보호된 네이티브 C++ 페이로드로, AV 회피 및 지갑 주입 기능을 통합.

Arkanix가 해커 포럼에 홍보됨 – Source: Kaspersky

개발자는 업데이트, 기능 피드백 및 지원을 위한 커뮤니티 허브 역할을 하는 Discord 서버를 구축했습니다. 또한 추천 프로그램을 도입하여, 추천인에게는 프리미엄 액세스 1시간을 추가로 제공하고, 신규 고객에게는 1주일 동안 프리미엄 액세스를 무료로 제공했습니다.

대시보드 내에서 볼 수 있는 추천 옵션 – Source: Kaspersky

데이터‑탈취 기능

Arkanix는 시스템 정보를 수집하고 브라우저에 저장된 데이터(히스토리, 자동완성 정보, 쿠키, 비밀번호)와 22개 브라우저의 암호화폐 지갑 데이터를 탈취할 수 있습니다. Kaspersky 연구원들은 Chromium 기반 브라우저에서 OAuth2 토큰도 추출할 수 있다고 언급했습니다.

추가 기능으로는 다음이 포함됩니다:

• 텔레그램 및 디스코드에서 데이터를 탈취하고, 디스코드 API를 통해 전파하며, 피해자의 친구/채널에 메시지를 전송합니다.
• Mullvad, NordVPN, ExpressVPN, ProtonVPN 자격 증명을 표적합니다.
• 로컬 파일 시스템에서 파일을 아카이브하여 비동기식으로 유출합니다.
• C2 서버에서 다운로드 가능한 모듈(예: Chrome 그랩퍼, Exodus 또는 Atomic용 지갑 패처, 스크린샷 도구, HVNC, FileZilla 및 Steam용 스틸러) 등을 제공합니다.

대상 암호화폐 확장 프로그램의 일부 목록 – Source: Kaspersky

프리미엄 네이티브 C++ 버전

프리미엄 네이티브 C++ 버전은 다음을 추가합니다:

• RDP 자격 증명 탈취, 안티‑샌드박스 및 안티‑디버깅 검사, WinAPI 기반 화면 캡처.
• Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect, GOG를 표적.
• ChromElevator 사후 이용 도구를 제공하여 일시 중단된 브라우저 프로세스에 주입함으로써 Google의 앱 바인드 암호화(ABE)를 우회하고 사용자 자격 증명을 탈취합니다.

Arkanix 스틸러 실험의 목적은 명확하지 않으며, LLM 지원이 악성코드 개발 및 기능 제공을 가속화하는지 평가하려는 시도였을 가능성이 있습니다. Kaspersky는 Arkanix를 “그림자 스틸러라기보다 공개 소프트웨어 제품에 가깝다”고 평가합니다.

연구진은 파일 해시, 도메인, IP 주소 등을 포함한 포괄적인 침해 지표(IoC) 목록을 제공했습니다.