El sector financiero de Corea del Sur ha sido blanco de lo que se ha descrito como un sofisticado ataque a la cadena de suministro que llevó al despliegue del ransomware Qilin.
«Esta operación combinó las capacidades de un importante grupo de ransomware como servicio (RaaS), Qilin, con la posible participación de actores afiliados al estado norcoreano (Moonstone Sleet), aprovechando el compromiso de los proveedores de servicios gestionados (MSP) como vector de acceso inicial», dijo Bitdefender dijo en un informe compartido con The Hacker News.
Qilin se ha convertido en una de las operaciones de ransomware más activas de este año, y el equipo de RaaS mostró un «crecimiento explosivo» en el mes de octubre de 2025, debido a reclamando sobre 180 víctimas . El grupo es responsable del 29% de todos los ataques de ransomware, según los datos de Grupo NCC .
La empresa rumana de ciberseguridad dijo que decidió profundizar tras descubrir un pico inusual en las víctimas de ransomware de Corea del Sur en septiembre de 2025, cuando se convirtió en el segundo país más afectado por el ransomware después de los EE. UU., con 25 casos, un salto significativo con respecto a la media de unas 2 víctimas al mes entre septiembre de 2024 y agosto de 2025.
Un análisis más detallado encontró que los 25 casos se atribuyeron exclusivamente al grupo de ransomware Qilin, con 24 de las víctimas en el sector financiero. La campaña recibió el apodo Fugas coreanas por parte de los propios atacantes.
Si bien es probable que los orígenes de Qilin sean rusos, el grupo se describe a sí mismo como «activistas políticos» y «patriotas del país». Sigue un modelo de afiliación tradicional, que consiste en reclutar a un grupo diverso de piratas informáticos para llevar a cabo los ataques a cambio de quedarse con una pequeña parte de hasta el 20% de los pagos ilícitos.
Un afiliado destacado en particular es un actor de amenazas norcoreano rastreado como Aguanieve en forma de piedra lunar , que, según Microsoft, desplegó una variante de ransomware personalizada llamada FakePenny en un ataque dirigido contra una empresa de tecnología de defensa anónima en abril de 2024.
Luego, a principios de febrero, se produjo un giro importante cuando el adversario estaba observado entregando el ransomware Qilin a un número limitado de organizaciones. Si bien no está del todo claro si la última serie de ataques fue llevada a cabo realmente por el grupo de piratas informáticos, atacar a empresas surcoreanas se alinea con sus objetivos estratégicos.
Korean Leaks se llevó a cabo en tres oleadas de publicaciones, lo que resultó en el robo de más de 1 millón de archivos y 2 TB de datos de 28 víctimas. Según Bitdefender, las publicaciones de las víctimas relacionadas con otras cuatro entidades fueron eliminadas del sitio de filtración de datos (DLS), lo que sugiere que podrían haber sido eliminadas tras negociar un rescate o por una política interna específica.
Las tres olas son las siguientes -
- Onda 1 , compuesta por 10 víctimas del sector de la gestión financiera que se publicó el 14 de septiembre de 2025
- Ola 2 , compuesta por nueve víctimas que se publicaron entre el 17 y el 19 de septiembre de 2025
- Ola 3 , que comprende nueve víctimas y que se publicó entre el 28 de septiembre y el 4 de octubre de 2025
Un aspecto inusual de estas filtraciones es que se apartan de las tácticas establecidas de ejercer presión sobre las organizaciones comprometidas y, en cambio, se apoyan en gran medida en la propaganda y el lenguaje político.
«Toda la campaña se enmarcó como un esfuerzo de servicio público para denunciar la corrupción sistémica, ejemplificado por las amenazas de publicar archivos que pudieran ser 'pruebas de manipulación bursátil» y los nombres de 'políticos y empresarios conocidos de Corea'», dijo Bitdefender sobre la primera ola de la campaña.
Las oleadas posteriores aumentaron la amenaza un poco más, con el argumento de que la filtración de los datos podría representar un grave riesgo para el mercado financiero coreano. Los actores también pidieron a las autoridades surcoreanas que investigaran el caso, citando las estrictas leyes de protección de datos.
Se observó un nuevo cambio en los mensajes en la tercera ola, en la que el grupo inicialmente continuó con el mismo tema de una crisis financiera nacional provocada por la divulgación de información robada, pero luego cambió a un lenguaje que «se parecía más a los mensajes de extorsión típicos de Qilin por motivos financieros».
Dado que Qilin se jacta de un «equipo interno de periodistas» para ayudar a los afiliados a escribir textos para entradas de blog y ayudar a ejercer presión durante las negociaciones, se estima que los principales miembros del grupo estuvieron detrás de la publicación del texto de la DLS.
«Las publicaciones contienen varias de las inconsistencias gramaticales propias del operador principal», dijo Bitdefender. «Sin embargo, este control sobre el borrador final no significa que se haya excluido al afiliado de tener una opinión crítica sobre los mensajes clave o la dirección general del contenido».
Para llevar a cabo estos ataques, se dice que la filial de Qilin violó un único proveedor de servicios gestionados (MSP) upstream, aprovechando el acceso para comprometer a varias víctimas a la vez. El 23 de septiembre de 2025, el Korea JoongAng Daily reportó que más de 20 empresas de gestión de activos del país se infectaron con ransomware tras el compromiso de GJTec.
Para mitigar estos riesgos, es esencial que las organizaciones apliquen la autenticación multifactor (MFA), apliquen el principio de privilegio mínimo (PoLP) para restringir el acceso, segmenten los sistemas críticos y los datos confidenciales y tomen medidas proactivas para reducir las superficies de ataque.
«El compromiso de MSP que desencadenó la operación 'Korean Leaks' pone de relieve un punto ciego crítico en las discusiones sobre ciberseguridad», afirma Bitdefender. «Aprovechar a un proveedor, contratista o MSP que tiene acceso a otras empresas es un camino más frecuente y práctico que pueden tomar los grupos de RaaS que buscan víctimas agrupadas».