라자루스 그룹, 중동 및 미국 보건 의료 공격에 메두사 랜섬웨어 사용

Source: The Hacker News

Ravie Lakshmanan
2026 년 2월 24일 – 위협 인텔리전스 / 헬스케어

북한과 연계된 라자루스 그룹(다이아몬드 슬리트·폼필루스) 가 중동의 익명 엔터티를 표적으로 Medusa 랜섬웨어를 사용한 공격을 진행한 것으로, Symantec 및 Carbon Black 위협 사냥팀이 새 보고서에서 밝혔습니다.

Broadcom의 위협 인텔리전스 부서 역시 동일한 공격자를 확인했으며, 미국 의료 기관을 대상으로 한 시도는 실패했음을 전했습니다. Medusa는 사이버 범죄 조직 Spearwing이 2023년에 시작한 랜섬웨어‑as‑a‑service(RaaS) 운영이며, 현재까지 366건 이상의 공격을 주장하고 있습니다.

“Medusa 유출 사이트 분석 결과, 2025년 11월 초부터 미국 내 4개의 의료 및 비영리 조직이 공격을 받았음이 확인되었습니다.” 라고 회사는 The Hacker News에 공유한 보고서에서 밝혔습니다.

피해자는 정신건강 분야 비영리 단체와 자폐 아동을 위한 교육 시설을 포함하고 있습니다. 이 모든 피해자가 북한 운영자에 의해 표적이 되었는지, 아니면 다른 Medusa 계열이 일부 공격을 담당했는지는 확인되지 않았습니다. 해당 기간 평균 몸값 요구액은 $260,000 이었습니다.

북한 해킹 그룹이 랜섬웨어를 사용하는 사례는 처음이 아닙니다. 2021년에도 라자루스의 하위 클러스터인 Andariel(스톤플라이) 가 한국, 일본, 미국을 대상으로 SHATTEREDGLASS, Maui 등 맞춤형 랜섬웨어를 사용한 공격이 관찰되었습니다.

2024년 10월, 이 조직은 Play 랜섬웨어 공격과도 연관된 것으로 확인돼, 기존에 맞춤형 랜섬웨어를 사용하던 방식에서 바로 사용할 수 있는 툴로 전환해 피해자 시스템을 암호화하고 몸값을 요구한 것으로 보입니다.

Andariel만이 맞춤형 랜섬웨어에서 이미 사용 가능한 변종으로 전환한 유일한 사례는 아닙니다. 지난해 Bitdefender는 Moonstone Sleet라 불리는 또 다른 북한 위협 행위자가 이전에 FakePenny라는 맞춤형 랜섬웨어를 배포했으며, 최근 Qilin 랜섬웨어를 이용해 여러 한국 금융 회사를 표적으로 삼았다고 밝혔습니다.

이러한 변화는 북한 해킹 그룹이 자체 도구를 개발하기보다 기존 RaaS 그룹의 계열사로 활동하는 전술적 전환을 시사한다고, 해당 회사는 The Hacker News에 전했습니다.

“동기는 대부분 실용주의일 가능성이 높습니다.” 라고 Symantec 및 Carbon Black 위협 사냥팀의 수석 인텔리전스 분석가 Dick O’Brien이 말했습니다. “자체 랜섬웨어 페이로드를 개발하는 수고를 들이기보다 검증된 위협인 Medusa나 Qilin을 사용하는 것이 왜 더 나을까요? 수수료를 고려했을 때 이득이 비용보다 클 수 있습니다.”

라자루스‑그룹 메두사 캠페인에 사용된 도구들

• RP_Proxy – 맞춤형 프록시 유틸리티
• Mimikatz – 공개적으로 사용 가능한 자격 증명 덤핑 프로그램
• Comebacker – 위협 행위자가 독점적으로 사용하는 맞춤형 백도어
• InfoHook – 이전에 Comebacker와 함께 식별된 정보 탈취 도구
• BLINDINGCAN (aka AIRDRY or ZetaNile) – 원격 액세스 트로잔
• ChromeStealer – Chrome 브라우저에 저장된 비밀번호를 추출하는 도구

이 활동은 특정 라자루스 하위 그룹과 연결되지 않았으며, extortion 공격이 이전 안다리엘 작전과 유사함에도 불구하고.

“메두사로의 전환은 북한의 탐욕스러운 사이버 범죄 개입이 여전히 지속되고 있음을 보여준다”고 회사는 말했다. “북한 행위자들은 미국 내 조직을 표적으로 삼는 데 큰 양심의 가책이 없는 것으로 보인다. 일부 사이버 범죄 조직은 평판 손상을 이유로 의료 기관을 목표로 하지 않겠다고 주장하지만, 라자루스는 어떠한 제약도 받지 않는 듯하다.”

이 기사 흥미롭다고 생각하십니까? 팔로우하세요:

• Google News
• Twitter (링크 자리표시자 – 실제 핸들로 교체)

[Twitter](https://twitter.com/thehackersnews) and [LinkedIn](https://www.linkedin.com/company/thehackernews/) to read more exclusive content we post.