노트패드++ 업데이트 인프라를 노린 공급망 공격이 단일 사건이 아닌, 수개월에 걸쳐 단계적으로 전개된 복합 공격이었을 가능성이 제기됐다.

보안 연구진의 분석에 따르면 공격자는 시기별로 인프라와 수법을 바꾸며 여러 국가와 조직을 표적으로 삼았다는 점에서 파급 범위가 제한적이지 않았던 것으로 보인다.

2026년 2월 9일 카스퍼스키는 자사 글로벌 연구 분석팀(GReAT)의 조사 결과를 통해, 최근 발생한 노트패드++ 공급망 공격의 배후 공격자들이 필리핀 정부 기관과 엘살바도르 금융 기관, 베트남 IT 서비스 제공업체, 그리고 세 개 국가에 걸친 개인 사용자들을 공격 대상으로 삼았다고 밝혔다.

이 과정에서 최소 세 가지의 서로 다른 감염 체인이 사용됐으며, 이 중 두 개는 외부에 공개된 적이 없다고 설명했다.

분석 결과 공격자들은 2025년 7월부터 10월 사이 약 한 달 주기로 악성코드, 명령·제어(C2) 인프라, 전달 방식을 전면적으로 변경해 온 것으로 나타났다.

현재까지 문서화된 공격 사례는 전체 공격 흐름 중 마지막 단계에 해당하며, 앞선 단계에서는 전혀 다른 방식의 침투가 이뤄졌던 것으로 파악됐다.

노트패드++ 개발진은 앞서 2026년 2월 2일 호스팅 제공업체 사고로 업데이트 인프라가 침해됐다고 공개한 바 있다. 다만 기존 공개 보고는 2025년 10월에 관찰된 악성코드에 초점을 맞추고 있어, 7월부터 9월까지 사용된 침해 지표에 대해서는 다수의 조직이 인지하지 못했을 가능성이 있는 상황이다.

각 공격 체인은 서로 다른 악성 IP 주소와 도메인, 실행 방식, 페이로드를 사용한 것으로 확인됐다. 이에 따라 10월에 공개된 침해 지표만을 기준으로 점검을 진행한 경우, 이전 단계의 감염 흔적을 놓쳤을 가능성도 배제할 수 없다는 분석이다.

카스퍼스키 GReAT 연구진은 공격자들이 인프라와 도구를 빈번하게 교체해 온 점을 근거로, 아직 발견되지 않은 추가 공격 체인이 존재할 가능성도 있다고 설명했다.

이번 사례는 공급망 공격이 단기간에 끝나지 않고 장기간 은밀하게 이어질 수 있음을 보여주며, 단일 시점의 침해 지표에 의존한 대응의 한계를 시사한다.