유닛42는 최근 발표한 랜섬웨어 공격 조사에서 북한 인민군의 정찰총국과 연관된 해커 조직 '점피 파이시스(Jumpy Pisces)'가 기존 랜섬웨어 인프라를 사용한 것을 최초로 발견했으며, 이러한 북한 연관 해커들의 ‘전술, 기법, 절차(TTPs)’ 변화는 랜섬웨어를 포함한 금전 목적의 사이버 범죄 활동에 깊숙이 관여하고 있음을 나타낸다고 밝혔다.

점피 파이시스는 '안다니엘(Andariel)' 또는 '오닉스슬릿(Onyx Sleet)'으로도 알려져 있으며, 과거 사이버 스파이 활동, 금융 범죄 및 랜섬웨어 공격에 연루된 바 있다. 또한, 미국 법무부에 의해 자체 개발한 랜섬웨어인 '마우이(Maui)'를 배포한 혐의로 기소되었다.

유닛42는 북한의 지원을 받는 해커들이 점피 파이시스의 수법과 동일하게 유출된 사용자 계정을 통해 피해 조직의 시스템에 침투하여 초기 접근 권한을 얻은 뒤 ‘디트랙(DTrack)’이라는 맞춤형 악성코드를 통해 조직 내에서 횡단하며 지속적으로 활동을 수행했던 것으로 추정했다. 디트랙은 북한 해커 조직과 연관된 해킹 사건에서 사용된 바 있는 정보 수집형 악성코드로 도난당한 데이터는 GIF 파일로 압축되어 숨겨진다.

유닛42는 북한 해커들과 플레이 랜섬웨어 위협 행위자 간의 협력 여부를 동일한 유출된 계정 사용, 동일한 악성코드 사용 등 여러 기술적 요소를 기반으로 평가했다. 위협 행위자들은 인증 정보 수집, 권한 상승, EDR 센서 제거 등의 사전 랜섬웨어 활동을 수행해 최종적으로 플레이 랜섬웨어를 배포했으며, 브라우저 기록, 자동 완성 데이터 및 신용카드 정보를 탈취하기 위해 다른 도구도 사용한 것으로 밝혀졌다.

이번 사건을 두고 팔로알토 네트웍스는 북한 위협 그룹이 광범위한 랜섬웨어 공격을 감행할 가능성이 커지면서 국제 사이버 보안에 심각한 위협을 초래할 수 있다고 우려했다. 또한, 전 세계 보안 관계자는 점피 파이시스의 이번 활동을 단순한 스파이 활동이 아닌 랜섬웨어 공격의 전조로 인식해야 하며, 이에 대한 경각심을 더욱 높여야 할 필요성이 있다고 설명했다.