El sector financiero de Corea del Sur ha sido blanco de lo que se ha descrito como un sofisticado ataque a la dependencia de suministro que condujo al despliegue del ransomware Qilin.
“Esta operación combinó las capacidades de un importante familia de Ransomware como servicio (RaaS), Qilin, con la posible billete de actores afiliados al estado de Corea del Boreal (Moonstone Sleet), aprovechando el compromiso del Proveedor de Servicios Gestionados (MSP) como vector de ataque auténtico”, dijo Bitdefender en un noticia compartido con The Hacker News.
Qilin se ha convertido en una de las operaciones de ransomware más activas de este año, y el equipo de RaaS mostró un “crecimiento explosivo” en el mes de octubre de 2025 al pedir más de 180 víctimas. El familia es responsable del 29% de todos los ataques de ransomware, según datos de NCC Group.
La empresa rumana de ciberseguridad dijo que decidió profundizar más a posteriori de descubrir un aumento inusual en las víctimas de ransomware de Corea del Sur en septiembre de 2025, cuando se convirtió en el segundo país más afectado por ransomware a posteriori de EE. UU., con 25 casos, un brinco significativo con respecto a un promedio de aproximadamente 2 víctimas por mes entre septiembre de 2024 y agosto de 2025.
Un observación más detallado encontró que los 25 casos se atribuyeron exclusivamente al familia de ransomware Qilin, y 24 de las víctimas pertenecían al sector financiero. La campaña recibió el apodo Fugas coreanas por los propios atacantes.
Si admisiblemente los orígenes de Qilin son probablemente rusos, el familia se describe a sí mismo como “activistas políticos” y “patriotas del país”. Sigue un maniquí de afiliado tradicional, que implica alistar a un familia diverso de piratas informáticos para padecer a mango los ataques a cambio de admitir una pequeña parte de hasta el 20% de los pagos ilícitos.
Un afiliado particular a destacar es un actor de amenazas norcoreano rastreado como Moonstone Sleet, que, según Microsoft, implementó una variable de ransomware personalizada indicación FakePenny en un ataque dirigido a una empresa de tecnología de defensa anónima en abril de 2024.
Luego, a principios de febrero, se produjo un libranza significativo cuando se observó que el adversario entregaba ransomware Qilin en un número condicionado de organizaciones. Si admisiblemente no está exactamente claro si el posterior conjunto de ataques fue positivamente llevado a mango por el familia de hackers, apuntar a empresas surcoreanas se alinea con sus objetivos estratégicos.
Korean Leaks se produjo en tres oleadas de publicaciones, lo que resultó en el robo de más de 1 millón de archivos y 2 TB de datos de 28 víctimas. Las publicaciones de víctimas asociadas con otras cuatro entidades fueron eliminadas del sitio de fuga de datos (DLS), lo que sugiere que pueden suceder sido eliminadas luego de negociaciones de rescate o de una política interna única, dijo Bitdefender.
Las tres ondas son las siguientes:
- Ola 1compuesto por 10 víctimas del sector de dirección financiera que se publicó el 14 de septiembre de 2025
- Ola 2compuesto por nueve víctimas que fueron publicadas entre el 17 y el 19 de septiembre de 2025
- Ola 3que comprende nueve víctimas que se publicaron entre el 28 de septiembre y el 4 de octubre de 2025.
Un aspecto inusual de estas filtraciones es el alejamiento de las tácticas establecidas de desempeñar presión sobre las organizaciones comprometidas, apoyándose en su ocasión en gran medida en la propaganda y el lengua político.
“Toda la campaña se enmarcó como un esfuerzo de servicio conocido para exponer la corrupción sistémica, ejemplificada por las amenazas de revelar archivos que podrían ser ‘evidencia de manipulación del mercado de títulos’ y nombres de ‘políticos y empresarios conocidos en Corea'”, dijo Bitdefender sobre la primera ola de la campaña.
Las oleadas posteriores intensificaron la amenaza un nivel más suspensión, alegando que la filtración de datos podría representar un peligro llano para el mercado financiero coreano. Los actores además pidieron a las autoridades surcoreanas que investiguen el caso, citando estrictas leyes de protección de datos.
Se observó un cambio adicional en los mensajes en la tercera ola, donde el familia inicialmente continuó con el mismo tema de una crisis financiera doméstico resultante de la divulgación de información robada, pero luego cambió a un lengua que “se parecía más a los típicos mensajes de trastorno motivados financieramente de Qilin”.
Hexaedro que Qilin se jacta de contar con un “equipo interno de periodistas” para ayudar a los afiliados a escribir textos para publicaciones de blogs y ayudar a desempeñar presión durante las negociaciones, se evalúa que los miembros principales del familia estaban detrás de la publicación del texto de DLS.
“Las publicaciones contienen varias de las inconsistencias gramaticales características del cirujano principal”, dijo Bitdefender. “Sin requisa, este control sobre el croquis final no significa que el afiliado haya sido excluido de tener voz y voto crítico en el mensaje esencia o en la dirección genérico del contenido”.
Para padecer a mango estos ataques, se dice que la filial de Qilin violó un único proveedor de servicios gestionados (MSP) subido, aprovechando el ataque para comprometer a varias víctimas a la vez. El 23 de septiembre de 2025, el JoongAng Daily de Corea informó que más de 20 empresas de dirección de activos en el país fueron infectadas con ransomware tras el compromiso de GJTec.
Para mitigar estos riesgos, es esencial que las organizaciones apliquen la autenticación multifactor (MFA), apliquen el principio de privilegio pequeño (PoLP) para restringir el ataque, segmentar los sistemas críticos y los datos confidenciales, y tomar medidas proactivas para resumir las superficies de ataque.
“El compromiso del MSP que desencadenó la operación ‘Korean Leaks’ resalta un punto ciego crítico en las discusiones sobre ciberseguridad”, dijo Bitdefender. “Explotar a un proveedor, contratista o MSP que tiene ataque a otras empresas es una ruta más frecuente y habilidad que pueden tomar los grupos RaaS que buscan víctimas agrupadas”.
