El sector financiero de Corea del Sur se ha convertido en el epicentro de una de las campañas de ransomware más sofisticadas de 2025, tras una operación atribuida al grupo Qilin, una de las familias de ransomware más activas y peligrosas del panorama actual. El ataque, identificado bajo el nombre “Korean Leaks”, no solo expuso las debilidades tecnológicas de varias entidades financieras, sino que también evidenció los riesgos críticos asociados a la cadena de suministro digital.
Según un informe de Bitdefender, esta campaña combinó la infraestructura del modelo Ransomware-as-a-Service (RaaS) de Qilin con la posible participación de actores patrocinados por el Estado norcoreano, rastreados como Moonstone Sleet, lo que añade una dimensión geopolítica a la amenaza.
Qilin: el ransomware que domina 2025
Qilin ha experimentado un crecimiento explosivo en los últimos meses, consolidándose como responsable de aproximadamente el 29% de todos los ataques de ransomware registrados este año, de acuerdo con datos de NCC Group.
Solo en octubre de 2025, el grupo se atribuyó más de 180 víctimas a nivel global, lo que lo posiciona como una de las operaciones de extorsión digital más agresivas del momento.
El grupo opera bajo un modelo RaaS tradicional, reclutando afiliados de diferentes regiones que ejecutan los ataques a cambio de un porcentaje del rescate. Qilin se queda con una comisión de hasta el 20% de los pagos ilícitos, lo que les ha permitido escalar su red criminal de forma acelerada.

El ataque a Corea del Sur: una escalada sin precedentes
Bitdefender comenzó a investigar tras detectar un aumento anómalo de ataques de ransomware en Corea del Sur durante septiembre de 2025. En ese mes, el país se convirtió en el segundo más afectado del mundo, solo por detrás de Estados Unidos, con 25 víctimas confirmadas, cuando el promedio mensual rondaba las 2.
Lo más preocupante:
✅ Los 25 ataques fueron atribuidos exclusivamente a Qilin
✅ 24 de las víctimas pertenecían al sector financiero
✅ La campaña fue bautizada por los atacantes como Korean Leaks
Este patrón apunta a una operación deliberada contra infraestructuras críticas económicas, con un claro interés en desestabilizar la confianza en el sistema financiero surcoreano.
¿Qué papel jugó Moonstone Sleet?
Uno de los afiliados más destacados de Qilin es el actor conocido como Moonstone Sleet, vinculado por Microsoft con actividades patrocinadas por el Estado norcoreano.
Este grupo ya había sido relacionado con el despliegue de una variante de ransomware personalizada, denominada FakePenny, utilizada en abril de 2024 contra una empresa tecnológica de defensa.
En febrero de 2025, los investigadores detectaron que este actor comenzó a distribuir Qilin en organizaciones seleccionadas, lo que refuerza la hipótesis de una colaboración o convergencia temporal de intereses entre el crimen organizado y amenazas estatales.
Aunque no existe confirmación definitiva de su implicación directa en Korean Leaks, el alineamiento con los objetivos estratégicos norcoreanos hace que la teoría sea altamente plausible.
Operación Korean Leaks: robo masivo de datos
La campaña resultó en el robo de:
-
Más de 1 millón de archivos
-
Aproximadamente 2 terabytes de información confidencial
-
Datos pertenecientes a al menos 28 organizaciones
Las filtraciones se publicaron en tres oleadas claramente diferenciadas:
Primera ola
-
Fecha: 14 de septiembre de 2025
-
Víctimas: 10 empresas del sector de gestión financiera
Segunda ola
-
Fechas: entre el 17 y 19 de septiembre de 2025
-
Víctimas: 9 organizaciones adicionales
Tercera ola
-
Fechas: entre el 28 de septiembre y el 4 de octubre de 2025
-
Víctimas: otras 9 empresas financieras
Curiosamente, las publicaciones relacionadas con otras cuatro entidades fueron retiradas posteriormente del sitio de filtraciones, lo que podría indicar negociaciones exitosas o una decisión estratégica interna dentro del grupo criminal.
De la propaganda política a la extorsión financiera
A diferencia de otras campañas de ransomware, Korean Leaks adoptó inicialmente un enfoque propagandístico.
Los atacantes se presentaron como “activistas políticos”, asegurando que su objetivo era exponer la corrupción sistémica del sector financiero surcoreano. Incluso amenazaron con revelar pruebas de supuesta manipulación del mercado bursátil y vínculos con figuras políticas influyentes.
Posteriormente, en la tercera ola, el discurso cambió gradualmente hacia una narrativa más tradicional de extorsión económica, característica del modus operandi habitual de Qilin.
Bitdefender señaló que el grupo cuenta con un supuesto “equipo interno de periodistas” encargado de redactar mensajes para maximizar la presión mediática y psicológica sobre las víctimas.
El error crítico: un MSP comprometido
El vector de ataque más alarmante fue el compromiso de un proveedor de servicios gestionados (MSP), que funcionaba como enlace tecnológico para múltiples empresas financieras.
Al vulnerar un solo MSP situado “aguas arriba”, los atacantes consiguieron acceso lateral a decenas de organizaciones, optimizando su operación y maximizando el impacto.
De hecho, el diario Korea JoongAng Daily informó que más de 20 empresas de gestión de activos fueron afectadas tras la caída de un proveedor tecnológico llamado GJTec.
Este escenario refleja una tendencia creciente:
Exploitar proveedores externos con múltiples clientes para amplificar los ataques a escala masiva.
Cómo mitigar ataques de ransomware a la cadena de suministro
Para reducir el riesgo frente a amenazas como Qilin, los expertos recomiendan aplicar las siguientes medidas:
✅ Implementar Autenticación Multifactor (MFA) en todos los accesos críticos
✅ Aplicar el Principio de Privilegio Mínimo (PoLP)
✅ Segmentar redes y sistemas clave
✅ Supervisar accesos de terceros y MSP
✅ Monitorizar actividad anómala en endpoints
✅ Realizar auditorías periódicas de seguridad en proveedores
✅ Reducir la superficie de ataque y eliminar servicios innecesarios
Tal como señaló Bitdefender:
“Explotar un proveedor con acceso privilegiado a múltiples clientes es una estrategia más eficiente para los grupos RaaS que buscar víctimas una por una.”
Impacto global y lecciones para el sector financiero
El ataque Korean Leaks no solo afecta a Corea del Sur. Este incidente es un caso de estudio global sobre cómo el ransomware moderno evoluciona combinando ciberdelincuencia, propaganda política y explotación estratégica de la cadena de suministro.
Para el sector financiero internacional, representa una advertencia clara:
No basta con proteger las infraestructuras internas. Los proveedores externos también forman parte del perímetro de seguridad.
Fuente: The Hacker News
