El sector financiero de Corea del Sur fue blanco de lo que dijo fue un sofisticado ataque a la cadena de suministro que condujo al despliegue del ransomware Qilin.
“Esta operación combinó las capacidades de un gran grupo de ransomware como servicio (RaaS), Qilin, con la posible participación de actores afiliados al estado de Corea del Norte (Moonstone Sleet), y utilizó el compromiso de los proveedores de servicios gestionados (MSP) como vector de acceso inicial”, dijo Bitdefender en un informe compartido con The Hacker News.
Qilin se ha convertido en una de las operaciones de ransomware más activas este año, y el equipo de RaaS experimentó un “crecimiento explosivo” en octubre de 2025, cobrándose más de 180 víctimas. Según datos de NCC Group, el grupo es responsable del 29% de todos los ataques de ransomware.
La empresa rumana de ciberseguridad dijo que decidió profundizar más después de descubrir un aumento inusual en las víctimas de ransomware de Corea del Sur en septiembre de 2025, cuando Corea del Sur se convirtió en el segundo país más afectado por ransomware después de Estados Unidos con 25 casos, un aumento significativo con respecto al promedio de aproximadamente 2 víctimas por mes entre septiembre de 2024 y agosto de 2025.
Un análisis más detallado reveló que los 25 casos se atribuyeron únicamente al grupo de ransomware Qilin, y 24 de las víctimas procedían del sector financiero. La campaña fue apodada filtraciones coreanas por los propios atacantes.
Aunque es probable que Qilin sea de origen ruso, el grupo se describe a sí mismo como “activistas políticos” y “patriotas del país”. Sigue un modelo de afiliado tradicional, en el que se recluta a un grupo diverso de piratas informáticos para llevar a cabo los ataques y, a cambio, se llevan una pequeña parte de hasta el 20% de los pagos ilegales.
Un socio de particular interés es un actor de amenazas norcoreano llamado Moonstone Sleet, que según Microsoft utilizó una variante de ransomware personalizada llamada FakePenny en un ataque a una empresa de tecnología de defensa no identificada en abril de 2024.
Luego, a principios de febrero, se produjo un punto de inflexión decisivo cuando se observó que el atacante distribuía el ransomware Qilin a un número limitado de organizaciones. Aunque no está del todo claro si los recientes ataques fueron realmente llevados a cabo por el grupo de hackers, apuntar a empresas surcoreanas es consistente con sus objetivos estratégicos.
Las filtraciones coreanas se produjeron en tres oleadas de publicaciones y dieron lugar al robo de más de 1 millón de archivos y 2 TB de datos de 28 víctimas. Las publicaciones de víctimas vinculadas a otras cuatro empresas fueron eliminadas del sitio de fuga de datos (DLS), lo que sugiere que pueden haber sido eliminadas debido a negociaciones de rescate o una política interna única, dijo Bitdefender.
Las tres olas son las siguientes:
- Ola 1compuesto por 10 víctimas del sector de gestión financiera, publicado el 14 de septiembre de 2025
- Ola 2compuesto por nueve víctimas liberadas entre el 17 y el 19 de septiembre de 2025
- Ola 3compuesto por nueve víctimas liberadas entre el 28 de septiembre y el 4 de octubre de 2025
Un aspecto inusual de estas filtraciones es el alejamiento de las tácticas establecidas de presionar a las organizaciones comprometidas y, en cambio, recurrir en gran medida a la propaganda y el lenguaje político.
“Toda la campaña fue presentada como un esfuerzo público para exponer la corrupción sistémica, como lo demuestran las amenazas de revelar archivos que podrían ser 'evidencia de manipulación del mercado de valores' y nombres de 'políticos y empresarios conocidos en Corea'”, dijo Bitdefender sobre la primera ola de la campaña.
Las oleadas posteriores intensificaron aún más la amenaza, alegando que la filtración de datos podría representar un riesgo grave para el mercado financiero coreano. Los actores también pidieron a las autoridades surcoreanas que investiguen el caso, citando estrictas leyes de protección de datos.
Se observó un cambio adicional en los mensajes en la tercera ola, donde el grupo inicialmente continuó con el mismo tema de una crisis financiera nacional resultante de la divulgación de información robada, pero luego cambió a un lenguaje que “se parecía más a los típicos mensajes de chantaje motivados financieramente de Qilin”.
Dado que Qilin se jacta de contar con un “equipo interno de periodistas” que ayudan a los afiliados a escribir textos para publicaciones de blogs y ayudan a ejercer presión durante las negociaciones, se cree que los miembros principales del grupo estaban detrás de la publicación del texto de DLS.
“Las publicaciones contienen varias de las inconsistencias gramaticales características del operador principal”, dijo Bitdefender. “Sin embargo, este control sobre el borrador final no significa que el afiliado haya sido excluido de una voz crítica en el mensaje central o la dirección general del contenido”.
Para frustrar estos ataques, se dice que la filial de Qilin pirateó un único proveedor de servicios gestionados (MSP) ascendente y aprovechó el acceso para comprometer a varias víctimas simultáneamente. El 23 de septiembre de 2025, el JoongAng Daily de Corea informó que más de 20 empresas de gestión de activos en el país fueron infectadas con ransomware tras el compromiso de GJTec.
Para mitigar estos riesgos, es importante que las organizaciones apliquen la autenticación multifactor (MFA), utilicen el principio de privilegio mínimo (PoLP) para restringir el acceso, segmenten los sistemas críticos y los datos confidenciales, y tomen medidas proactivas para reducir las superficies de ataque.
“El compromiso del MSP que desencadenó la operación 'Korean Leaks' resalta un punto ciego crítico en las discusiones sobre ciberseguridad”, dijo Bitdefender. “Explotar a un proveedor, contratista o MSP que tiene acceso a otras empresas es una ruta mucho más común y práctica que pueden tomar los grupos RaaS que buscan víctimas de clústeres”.
About The Author
