El sector financiero de Corea del Sur ha sido blanco de lo que se describe como un ataque avanzado a la cadena de suministro que condujo al despliegue del ransomware Qilin.
«Esta operación combina las capacidades de Qilin, un grupo líder de ransomware como servicio (RaaS), con la posible participación de actores afiliados al estado de Corea del Norte (Moonstone Sleet), que utilizaron compromisos de proveedores de servicios gestionados (MSP) como vector de acceso inicial», dijo Bitdefender en un informe compartido con The Hacker News.
Qilin se ha convertido en una de las campañas de ransomware más activas de este año, y el equipo de RaaS mostró un «crecimiento explosivo» con más de 180 víctimas en octubre de 2025. Según datos de NCC Group, el grupo es responsable del 29 % de todos los ataques de ransomware.
Una empresa rumana de ciberseguridad dijo que decidió investigar más profundamente después de revelar un aumento inusual en las víctimas de ransomware de Corea del Sur en septiembre de 2025. Corea del Sur se convirtió en el segundo país más afectado por ransomware después de Estados Unidos, con 25 casos, un aumento significativo del promedio de alrededor de 2 casos por mes desde septiembre de 2024 hasta agosto de 2025.
Un análisis más detallado reveló que los 25 incidentes de ransomware se atribuyeron al grupo de ransomware Qilin y que 24 de las víctimas estaban en el sector financiero. Los propios atacantes apodaron la campaña “Korea Leaks”.
Aunque los orígenes de Kirin son probablemente rusos, el grupo se describe a sí mismo como «activistas políticos» y «patriotas del país». Sigue un modelo de afiliado tradicional, reclutando a un grupo diverso de piratas informáticos para llevar a cabo ataques a cambio de una pequeña cantidad de hasta el 20% de los pagos fraudulentos.
Un afiliado notable es el actor de amenazas norcoreano rastreado como Moonstone Sleet. Según Microsoft, el atacante introdujo una variante de ransomware personalizada llamada FakePenny en un ataque dirigido a una empresa de tecnología de defensa anónima en abril de 2024.
Luego, a principios de febrero de este año, se produjo un gran cambio cuando se observó que los atacantes entregaban ransomware Qilin a un número limitado de organizaciones. No está exactamente claro si la última ronda de ataques fue realmente llevada a cabo por este grupo de hackers, pero apuntar a empresas surcoreanas es consistente con sus objetivos estratégicos.
La filtración coreana se produjo en tres oleadas de publicación y robó más de 1 millón de archivos y 2 TB de datos de 28 víctimas. Bitdefender dijo que las publicaciones de víctimas asociadas con otras cuatro entidades fueron eliminadas del sitio de fuga de datos (DLS) y que estas publicaciones pueden haber sido eliminadas de conformidad con negociaciones de rescate o sus propias políticas internas.
Las tres olas son:
Ola 1 de 10 víctimas del Departamento de Gestión Financiera publicada el 14 de septiembre de 2025 Ola 3 de 9 víctimas publicada del 17 al 19 de septiembre de 2025 Ola 3 de 9 víctimas publicada del 28 de septiembre al 4 de octubre de 2025
Lo inusual de estas violaciones es que se apartan de tácticas establecidas de presionar a las organizaciones comprometidas y, en cambio, dependen en gran medida de la propaganda y el lenguaje político.
«Toda la campaña se enmarcó como un esfuerzo de servicio público para exponer la corrupción sistémica, como lo ejemplifican las amenazas de publicar archivos que podrían ser ‘evidencia de manipulación del mercado de valores’ y los nombres de ‘prominentes políticos y empresarios surcoreanos'», dijo Bitdefender sobre la primera ola de la campaña.
Desde entonces, la amenaza ha aumentado aún más, y las filtraciones de datos representan potencialmente un riesgo grave para los mercados financieros de Corea del Sur. Los artistas también pidieron a las autoridades surcoreanas que investigaran el incidente, citando estrictas leyes de protección de datos.
En la tercera ola, se observaron más cambios en los mensajes: el grupo inicialmente continuó con el mismo tema de la crisis financiera nacional debido a la divulgación de información robada, pero luego cambió a un lenguaje que «se parece más a los típicos mensajes de extorsión financiera de Qilin».
A los miembros principales del grupo se les atribuye el mérito de estar detrás de la publicación del documento DLS, dado que Qilin cuenta con un “equipo interno de periodistas” que ayudan a escribir publicaciones en blogs afiliados y ejercen presión durante las negociaciones.
«La publicación contiene varias inconsistencias gramaticales características de los operadores principales», dijo Bitdefender. «Sin embargo, este control sobre el borrador final no significa que sus afiliados no tengan voz y voto crítico en los mensajes clave o en la dirección general del contenido».
Para llevar a cabo estos ataques, los afiliados de Qilin supuestamente comprometieron a un único proveedor de servicios gestionados (MSP) ascendente y utilizaron ese acceso para comprometer a varias víctimas a la vez. El 23 de septiembre de 2025, el JoongAng Ilbo de Corea informó que más de 20 empresas nacionales de gestión de activos fueron infectadas con ransomware debido a la violación de GJTec.
Para mitigar estos riesgos, es imperativo que las organizaciones tomen medidas proactivas para aplicar la autenticación multifactor (MFA), aplicar el principio de privilegio mínimo (PoLP) para restringir el acceso, segmentar los sistemas críticos y los datos confidenciales, y reducir las superficies de ataque.
«La violación del MSP que condujo a la Operación KoreaLeaks resalta un importante punto ciego en el debate sobre la ciberseguridad», dijo Bitdefender. «Explotar proveedores, contratistas o MSP con acceso a otras empresas es una opción más común y viable para los grupos RaaS que buscan víctimas agrupadas».
Source link
