El sector financiero de Corea del Sur ha sido blanco de lo que se ha descrito como un sofisticado ataque a la cadena de suministro que condujo al despliegue del ransomware Qilin.
«Esta operación combinó las capacidades de un importante grupo de Ransomware como servicio (RaaS), Qilin, con la posible participación de actores afiliados al estado de Corea del Norte (Moonstone Sleet), aprovechando el compromiso del Proveedor de Servicios Gestionados (MSP) como vector de acceso inicial», dijo Bitdefender en un informe compartido con The Hacker News.
Qilin se ha convertido en una de las operaciones de ransomware más activas de este año, y el equipo de RaaS mostró un «crecimiento explosivo» en el mes de octubre de 2025 al reclamar más de 180 víctimas. El grupo es responsable del 29% de todos los ataques de ransomware, según datos de NCC Group.
La empresa rumana de ciberseguridad dijo que decidió profundizar más después de descubrir un aumento inusual en las víctimas de ransomware de Corea del Sur en septiembre de 2025, cuando se convirtió en el segundo país más afectado por ransomware después de EE. UU., con 25 casos, un salto significativo con respecto a un promedio de aproximadamente 2 víctimas por mes entre septiembre de 2024 y agosto de 2025.
Un análisis más detallado encontró que los 25 casos se atribuyeron exclusivamente al grupo de ransomware Qilin, y 24 de las víctimas pertenecían al sector financiero. La campaña recibió el apodo Fugas coreanas por los propios atacantes.
Si bien los orígenes de Qilin son probablemente rusos, el grupo se describe a sí mismo como «activistas políticos» y «patriotas del país». Sigue un modelo de afiliado tradicional, que implica reclutar a un grupo diverso de piratas informáticos para llevar a cabo los ataques a cambio de recibir una pequeña parte de hasta el 20% de los pagos ilícitos.
Un afiliado particular a destacar es un actor de amenazas norcoreano rastreado como Moonstone Sleet, que, según Microsoft, implementó una variante de ransomware personalizada llamada FakePenny en un ataque dirigido a una empresa de tecnología de defensa anónima en abril de 2024.
Luego, a principios de febrero, se produjo un giro significativo cuando se observó que el adversario entregaba ransomware Qilin en un número limitado de organizaciones. Si bien no está exactamente claro si el último conjunto de ataques fue realmente llevado a cabo por el grupo de hackers, apuntar a empresas surcoreanas se alinea con sus objetivos estratégicos.
Korean Leaks se produjo en tres oleadas de publicaciones, lo que resultó en el robo de más de 1 millón de archivos y 2 TB de datos de 28 víctimas. Las publicaciones de víctimas asociadas con otras cuatro entidades fueron eliminadas del sitio de fuga de datos (DLS), lo que sugiere que pueden haber sido eliminadas luego de negociaciones de rescate o de una política interna única, dijo Bitdefender.
Las tres ondas son las siguientes:
- Ola 1compuesto por 10 víctimas del sector de gestión financiera que se publicó el 14 de septiembre de 2025
- Ola 2compuesto por nueve víctimas que fueron publicadas entre el 17 y el 19 de septiembre de 2025
- Ola 3que comprende nueve víctimas que se publicaron entre el 28 de septiembre y el 4 de octubre de 2025.
Un aspecto inusual de estas filtraciones es el alejamiento de las tácticas establecidas de ejercer presión sobre las organizaciones comprometidas, apoyándose en su lugar en gran medida en la propaganda y el lenguaje político.
«Toda la campaña se enmarcó como un esfuerzo de servicio público para exponer la corrupción sistémica, ejemplificada por las amenazas de revelar archivos que podrían ser ‘evidencia de manipulación del mercado de valores’ y nombres de ‘políticos y empresarios conocidos en Corea'», dijo Bitdefender sobre la primera ola de la campaña.
Las oleadas posteriores intensificaron la amenaza un nivel más alto, alegando que la filtración de datos podría representar un riesgo grave para el mercado financiero coreano. Los actores también pidieron a las autoridades surcoreanas que investiguen el caso, citando estrictas leyes de protección de datos.
Se observó un cambio adicional en los mensajes en la tercera ola, donde el grupo inicialmente continuó con el mismo tema de una crisis financiera nacional resultante de la divulgación de información robada, pero luego cambió a un lenguaje que «se parecía más a los típicos mensajes de extorsión motivados financieramente de Qilin».
Dado que Qilin se jacta de contar con un «equipo interno de periodistas» para ayudar a los afiliados a escribir textos para publicaciones de blogs y ayudar a ejercer presión durante las negociaciones, se evalúa que los miembros principales del grupo estaban detrás de la publicación del texto de DLS.
«Las publicaciones contienen varias de las inconsistencias gramaticales características del operador principal», dijo Bitdefender. «Sin embargo, este control sobre el borrador final no significa que el afiliado haya sido excluido de tener voz y voto crítico en el mensaje clave o en la dirección general del contenido».
Para llevar a cabo estos ataques, se dice que la filial de Qilin violó un único proveedor de servicios gestionados (MSP) ascendente, aprovechando el acceso para comprometer a varias víctimas a la vez. El 23 de septiembre de 2025, el JoongAng Daily de Corea informó que más de 20 empresas de gestión de activos en el país fueron infectadas con ransomware tras el compromiso de GJTec.
Para mitigar estos riesgos, es esencial que las organizaciones apliquen la autenticación multifactor (MFA), apliquen el principio de privilegio mínimo (PoLP) para restringir el acceso, segmentar los sistemas críticos y los datos confidenciales, y tomar medidas proactivas para reducir las superficies de ataque.
«El compromiso del MSP que desencadenó la operación ‘Korean Leaks’ resalta un punto ciego crítico en las discusiones sobre ciberseguridad», dijo Bitdefender. «Explotar a un proveedor, contratista o MSP que tiene acceso a otras empresas es una ruta más frecuente y práctica que pueden tomar los grupos RaaS que buscan víctimas agrupadas».