A campanha “Korean Leaks” emergiu como um dos mais sofisticados ataques à cadeia de abastecimento visando o sector financeiro da Coreia do Sul na memória recente.
Esta operação combinou as capacidades do grupo Qilin Ransomware-as-a-Service (RaaS) com o envolvimento potencial de atores afiliados ao estado norte-coreano, conhecidos como Moonstone Sleet.
Os invasores aproveitaram um provedor de serviços gerenciados (MSP) comprometido como vetor de acesso inicial, permitindo-lhes violar várias organizações por meio de um único ponto de entrada.
Em setembro de 2025, a Coreia do Sul tornou-se subitamente o segundo país mais alvo de ataques de ransomware, com 25 vítimas num único mês.
Este aumento incomum foi atribuído exclusivamente ao grupo de ransomware Qilin, que se concentrou quase inteiramente em empresas de serviços financeiros, especificamente empresas de gestão de ativos.
Do total de 33 vítimas, 28 são atualmente públicas, com casos documentados que confirmam o roubo de mais de 1 milhão de arquivos e 2 TB de dados.
Contagem mensal de vítimas de ransomware na Coreia do Sul (setembro de 2024 – setembro de 2025) (Fonte – Bitdefender)
Os pesquisadores de segurança da Bitdefender identificaram que a Qilin opera como uma economia gigantesca, onde os principais operadores fornecem marcas, software e infraestrutura, ao mesmo tempo que obtêm de 15% a 20% dos lucros.
O hacking real é executado por afiliados que ganham a maior parte do dinheiro. O que torna esta campanha particularmente preocupante é a parceria do início de 2025 entre Qilin e Moonstone Sleet, um grupo de hackers ligado diretamente à Coreia do Norte, confundindo os limites entre o crime cibernético e a espionagem patrocinada pelo Estado.
Os invasores lançaram sua campanha em três ondas de publicações distintas. A Onda 1 libertou 10 vítimas em 14 de setembro de 2025, enquadrando os ataques como um esforço de serviço público para expor a corrupção sistémica.
A Onda 2 intensificou as ameaças contra todo o mercado de ações coreano, enquanto a Onda 3 terminou com nove vítimas adicionais antes de retornar às mensagens padrão de extorsão.
Compromisso MSP como vetor de ataque
A análise da causa raiz revelou que o forte agrupamento de vítimas num único nicho financeiro apontava para uma vulnerabilidade partilhada que ligava todos os alvos.
Listagem inicial do Qilin DLS para um alvo coreano que contém uma referência direta à Coreia do Norte (Fonte – Bitdefender)
Reportagens da imprensa de 23 de setembro de 2025 confirmaram que mais de 20 empresas de gestão de ativos sofreram violações depois que seus servidores foram hackeados por meio de um provedor doméstico comum de serviços de TI.
Este compromisso do MSP concedeu aos invasores acesso simultâneo a múltiplas redes de clientes, explicando a velocidade e a precisão das ondas de ataque.
As recomendações de defesa incluem a implementação de autenticação multifatorial, segmentação de rede e adoção de soluções EDR/XDR/MDR para minimizar o tempo de permanência do adversário.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
