TechFlow 보도에 따르면, 4월 24일 사이버보안 기업 Expel의 연구 보고서에 따르면, 이 기업은 북한(DPRK) 정부가 후원하는 것으로 평가된 고도로 조직화된 APT(지속적 위협) 단체 ‘HexagonalRodent’를 추적 중이다. 이 단체는 주로 웹3 개발자를 표적으로 삼아 암호화폐 및 NFT 등 고가치 디지털 자산을 탈취하는 활동을 전문으로 한다. 2026년 1분기 동안 이 단체는 감염된 개발자 장치 2,726대에서 암호화폐 지갑 접근 권한 26,584개를 탈취했으며, 이로 인해 유출된 자산 총액은 1,200만 달러에 달한다.
이 단체는 주로 허위 채용 정보를 활용해 공격을 수행한다. 즉, 링크드인(Linkedin) 및 웹3 채용 플랫폼에 고임금 직무를 게시한 뒤, 구직자들이 내장된 악성 코드를 포함한 ‘기술 역량 평가 과제’를 완료하도록 유도하며, 피해자가 프로젝트 폴더를 열 때 VSCode의 tasks.json 기능을 악용해 악성 프로그램을 자동 실행시킨다. 사용되는 악성 소프트웨어에는 BeaverTail, OtterCookie, InvisibleFerret 등이 있으며, 비밀번호 탈취, 원격 제어, 리버스 셸(reverse shell) 등의 기능을 갖추고 있다.
주목할 점은, 이 단체가 ChatGPT, Cursor 등 생성형 AI 도구를 대규모로 활용해 악성 소프트웨어를 개발하고, 허위 기업 웹사이트를 구축하며, AI로 생성된 임원진을 구성한다는 것이다. 더 나아가 신뢰도를 높이기 위해 멕시코에 페이퍼 컴퍼니(paper company)를 설립하기까지 했다. 또한 이 단체는 최근 처음으로 서플라이 체인 공격을 성공적으로 수행해 VSCode 확장 프로그램 ‘fast-draft’를 해킹하고 이를 통해 악성 소프트웨어를 유포했다.
