Bitdefender ritiene che questa campagna costituisca un modello ibrido di collaborazione tra Stato e criminalità, combinando la logica economica del ransomware con obiettivi geopolitici
Bitdefender ha pubblicato una nuova ricerca sulla campagna ransomware “Korean Leaks”, rivelando come Qilin, un gruppo Ransomware-as-a-Service (RaaS) motivato da interessi economici, stia manifestando evidenti ambizioni geopolitiche attraverso attacchi mirati contro il settore finanziario della Corea del Sud.
La ricerca fornisce una delle analisi più complete fino ad oggi dell’operazione “Korean Leaks” condotta da Qilin, combinando le informazioni raccolte dal sito di divulgazione di dati di Qilin, dalle ricerche OSINT (Open Source Intelligence) e da informazioni reperite nel dark web. L’analisi di Bitdefender rivela che la campagna di Qilin ha inserito messaggi di propaganda politica nelle richieste di riscatto, una scelta insolita per un gruppo ransomware normalmente guidato da interessi economici, con l’obiettivo di presentare le fughe di dati come denunce di corruzione e indebolire la fiducia nel sistema finanziario della Corea del Sud.
Qilin ha successivamente tentato di eliminare queste comunicazioni, probabilmente su richiesta degli affiliati, ripulendo il proprio sito dedicato alla fuga di dati.
Ulteriori analisi suggeriscono inoltre che Moonstone Sleet, un gruppo APT legato alla Corea del Nord e noto affiliato di Qilin, possa aver partecipato all’operazione, rendendo ancora più labile il confine tra criminalità informatica di tipo finanziario e attività supportate dagli Stati.
I risultati principali:
– Bitdefender ha analizzato una campagna mirata che ha colpito il settore finanziario della Corea del Sud, in particolare le società di gestione patrimoniale, sfruttando la violazione di un Managed Service Provider (MSP) che forniva servizi IT a diverse aziende prese di mira.
– La campagna è stata attribuita al gruppo Qilin Ransomware-as-a-Service (RaaS), con la possibile collaborazione di Moonstone Sleet, un criminale informatico legato allo Stato nordcoreano.
– Qilin, un gruppo generalmente motivato da interessi finanziari, ha introdotto messaggi di natura politica e propagandistica, presentando le fughe di notizie come denuncia della “corruzione” nel settore finanziario sudcoreano, discostandosi in modo significativo dalla narrativa standard dei ransomware.
– L’attacco ha violato la supply chain anziché colpire le vittime direttamente, mettendo in luce come i service provider possano rappresentare punti di accesso critici per operazioni ransomware su larga scala.
– Bitdefender ritiene che questa campagna costituisca un modello ibrido di collaborazione tra Stato e criminalità, combinando la logica economica del ransomware con obiettivi geopolitici.
La ricerca è disponibile qui.
