Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Ransomware Qilin ataca sector financiero de Corea del Sur

Ransomware Qilin ataca sector financiero de Corea del Sur

por Dragora

El sector financiero de Corea del Sur se ha convertido en el epicentro de una de las campañas de ransomware más sofisticadas de 2025, tras una operación atribuida al grupo Qilin, una de las familias de ransomware más activas y peligrosas del panorama actual. El ataque, identificado bajo el nombre “Korean Leaks”, no solo expuso las debilidades tecnológicas de varias entidades financieras, sino que también evidenció los riesgos críticos asociados a la cadena de suministro digital.

Según un informe de Bitdefender, esta campaña combinó la infraestructura del modelo Ransomware-as-a-Service (RaaS) de Qilin con la posible participación de actores patrocinados por el Estado norcoreano, rastreados como Moonstone Sleet, lo que añade una dimensión geopolítica a la amenaza.


Qilin: el ransomware que domina 2025

Qilin ha experimentado un crecimiento explosivo en los últimos meses, consolidándose como responsable de aproximadamente el 29% de todos los ataques de ransomware registrados este año, de acuerdo con datos de NCC Group.

Solo en octubre de 2025, el grupo se atribuyó más de 180 víctimas a nivel global, lo que lo posiciona como una de las operaciones de extorsión digital más agresivas del momento.

El grupo opera bajo un modelo RaaS tradicional, reclutando afiliados de diferentes regiones que ejecutan los ataques a cambio de un porcentaje del rescate. Qilin se queda con una comisión de hasta el 20% de los pagos ilícitos, lo que les ha permitido escalar su red criminal de forma acelerada.


El ataque a Corea del Sur: una escalada sin precedentes

Bitdefender comenzó a investigar tras detectar un aumento anómalo de ataques de ransomware en Corea del Sur durante septiembre de 2025. En ese mes, el país se convirtió en el segundo más afectado del mundo, solo por detrás de Estados Unidos, con 25 víctimas confirmadas, cuando el promedio mensual rondaba las 2.

Lo más preocupante:
✅ Los 25 ataques fueron atribuidos exclusivamente a Qilin
24 de las víctimas pertenecían al sector financiero
✅ La campaña fue bautizada por los atacantes como Korean Leaks

Este patrón apunta a una operación deliberada contra infraestructuras críticas económicas, con un claro interés en desestabilizar la confianza en el sistema financiero surcoreano.


¿Qué papel jugó Moonstone Sleet?

Uno de los afiliados más destacados de Qilin es el actor conocido como Moonstone Sleet, vinculado por Microsoft con actividades patrocinadas por el Estado norcoreano.

Este grupo ya había sido relacionado con el despliegue de una variante de ransomware personalizada, denominada FakePenny, utilizada en abril de 2024 contra una empresa tecnológica de defensa.

En febrero de 2025, los investigadores detectaron que este actor comenzó a distribuir Qilin en organizaciones seleccionadas, lo que refuerza la hipótesis de una colaboración o convergencia temporal de intereses entre el crimen organizado y amenazas estatales.

Aunque no existe confirmación definitiva de su implicación directa en Korean Leaks, el alineamiento con los objetivos estratégicos norcoreanos hace que la teoría sea altamente plausible.


Operación Korean Leaks: robo masivo de datos

La campaña resultó en el robo de:

  • Más de 1 millón de archivos

  • Aproximadamente 2 terabytes de información confidencial

  • Datos pertenecientes a al menos 28 organizaciones

Las filtraciones se publicaron en tres oleadas claramente diferenciadas:

 Primera ola

  • Fecha: 14 de septiembre de 2025

  • Víctimas: 10 empresas del sector de gestión financiera

Segunda ola

  • Fechas: entre el 17 y 19 de septiembre de 2025

  • Víctimas: 9 organizaciones adicionales

Tercera ola

  • Fechas: entre el 28 de septiembre y el 4 de octubre de 2025

  • Víctimas: otras 9 empresas financieras

Curiosamente, las publicaciones relacionadas con otras cuatro entidades fueron retiradas posteriormente del sitio de filtraciones, lo que podría indicar negociaciones exitosas o una decisión estratégica interna dentro del grupo criminal.


De la propaganda política a la extorsión financiera

A diferencia de otras campañas de ransomware, Korean Leaks adoptó inicialmente un enfoque propagandístico.

Los atacantes se presentaron como “activistas políticos”, asegurando que su objetivo era exponer la corrupción sistémica del sector financiero surcoreano. Incluso amenazaron con revelar pruebas de supuesta manipulación del mercado bursátil y vínculos con figuras políticas influyentes.

Posteriormente, en la tercera ola, el discurso cambió gradualmente hacia una narrativa más tradicional de extorsión económica, característica del modus operandi habitual de Qilin.

Bitdefender señaló que el grupo cuenta con un supuesto “equipo interno de periodistas” encargado de redactar mensajes para maximizar la presión mediática y psicológica sobre las víctimas.


El error crítico: un MSP comprometido

El vector de ataque más alarmante fue el compromiso de un proveedor de servicios gestionados (MSP), que funcionaba como enlace tecnológico para múltiples empresas financieras.

Al vulnerar un solo MSP situado “aguas arriba”, los atacantes consiguieron acceso lateral a decenas de organizaciones, optimizando su operación y maximizando el impacto.

De hecho, el diario Korea JoongAng Daily informó que más de 20 empresas de gestión de activos fueron afectadas tras la caída de un proveedor tecnológico llamado GJTec.

Este escenario refleja una tendencia creciente:
Exploitar proveedores externos con múltiples clientes para amplificar los ataques a escala masiva.


Cómo mitigar ataques de ransomware a la cadena de suministro

Para reducir el riesgo frente a amenazas como Qilin, los expertos recomiendan aplicar las siguientes medidas:

✅ Implementar Autenticación Multifactor (MFA) en todos los accesos críticos
✅ Aplicar el Principio de Privilegio Mínimo (PoLP)
✅ Segmentar redes y sistemas clave
✅ Supervisar accesos de terceros y MSP
✅ Monitorizar actividad anómala en endpoints
✅ Realizar auditorías periódicas de seguridad en proveedores
✅ Reducir la superficie de ataque y eliminar servicios innecesarios

Tal como señaló Bitdefender:

“Explotar un proveedor con acceso privilegiado a múltiples clientes es una estrategia más eficiente para los grupos RaaS que buscar víctimas una por una.”


Impacto global y lecciones para el sector financiero

El ataque Korean Leaks no solo afecta a Corea del Sur. Este incidente es un caso de estudio global sobre cómo el ransomware moderno evoluciona combinando ciberdelincuencia, propaganda política y explotación estratégica de la cadena de suministro.

Para el sector financiero internacional, representa una advertencia clara:
No basta con proteger las infraestructuras internas. Los proveedores externos también forman parte del perímetro de seguridad.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!