Área clientes

Ransomware Qilin: Ataque a MSP en Corea del Sur Deriva en Robo de Datos de 28 Víctimas

Un sofisticado ataque a la cadena de suministro ha afectado al sector financiero de Corea del Sur, culminando en el despliegue del ransomware Qilin. Según un informe de Bitdefender, la operación combinó las capacidades del grupo Ransomware-as-a-Service (RaaS) Qilin, con la posible participación de actores afiliados al estado de Corea del Norte (Moonstone Sleet), aprovechando el compromiso de un Proveedor de Servicios Gestionados (MSP) como vector de acceso inicial.

Qilin ha surgido como una de las operaciones de ransomware más activas este año, con un crecimiento significativo en octubre de 2025, reclamando más de 180 víctimas y siendo responsable del 29% de todos los ataques de ransomware.

Bitdefender detectó un aumento inusual de víctimas de ransomware en Corea del Sur en septiembre de 2025, con 25 casos, un salto significativo desde un promedio de 2 víctimas por mes entre septiembre de 2024 y agosto de 2025. El análisis reveló que todos los casos se atribuyeron exclusivamente al grupo de ransomware Qilin, con 24 de las víctimas en el sector financiero. Los atacantes denominaron la campaña como ‘Korean Leaks’.

Los actores de amenazas se identifican como ‘activistas políticos’ y ‘patriotas del país’ y operan bajo un modelo de afiliados tradicional, reclutando hackers diversos a cambio de una pequeña parte de los pagos ilícitos (hasta el 20%). Un afiliado notable es Moonstone Sleet, un actor patrocinado por el estado de Corea del Norte.

Korean Leaks se desarrolló en tres olas, resultando en el robo de más de 1 millón de archivos y 2 TB de datos de 28 víctimas. Algunas publicaciones de víctimas fueron eliminadas del sitio de filtración de datos (DLS), posiblemente debido a negociaciones de rescate.

Las olas se distribuyeron de la siguiente manera:

* **Ola 1:** 10 víctimas del sector de gestión financiera (14 de septiembre de 2025).
* **Ola 2:** 9 víctimas (entre el 17 y el 19 de septiembre de 2025).
* **Ola 3:** 9 víctimas (entre el 28 de septiembre y el 4 de octubre de 2025).

La campaña se caracterizó por el uso de propaganda y lenguaje político, con el objetivo de exponer la corrupción sistémica y amenazando con revelar pruebas de manipulación del mercado de valores e información de políticos y empresarios coreanos.

El afiliado de Qilin accedió a múltiples víctimas a través del compromiso de un único MSP. En septiembre de 2025, se informó que más de 20 empresas de gestión de activos en el país fueron infectadas con ransomware tras el compromiso de GJTec.

Para mitigar estos riesgos, es fundamental que las organizaciones implementen la autenticación multifactor (MFA), apliquen el principio de privilegio mínimo (PoLP), segmenten los sistemas críticos y los datos confidenciales, y tomen medidas proactivas para reducir las superficies de ataque.

El compromiso del MSP subraya un punto ciego crítico en las discusiones de ciberseguridad: la explotación de un proveedor, contratista o MSP con acceso a otras empresas es una ruta más frecuente y práctica que los grupos RaaS pueden tomar para atacar a un gran número de víctimas.

Fuente original: Ver aquí

Comparte esta Noticia:


Noticias Relacionadas

ShinyHunters intensifica ataques de vishing para robar códigos MFA y vulnerar plataformas SaaS

Mandiant, la firma de inteligencia de amenazas de Google, ha reportado una expansión en las actividades de grupos cibercriminales, incluyendo a los conocidos como ShinyHunters, que están utilizando ingeniería social avanzada para comprometer organizaciones. El ataque comienza con una llamada telefónica de ‘vishing’, donde los delincuentes se hacen pasar por

Microsoft corrige vulnerabilidad zero-day crítica en Microsoft Office explotada activamente

Microsoft ha emitido actualizaciones de seguridad de emergencia fuera de su ciclo habitual para corregir una vulnerabilidad crítica de tipo ‘zero-day’, identificada como CVE-2026-21509, que afecta a diversas versiones de Microsoft Office. Entre las versiones impactadas se encuentran Office 2016, 2019, LTSC 2021, LTSC 2024 y las aplicaciones de Microsoft

Nueva variante de ataque ClickFix utiliza scripts de Microsoft App-V para distribuir el malware Amatera

Se ha identificado una nueva campaña maliciosa que utiliza el método denominado ‘ClickFix’, en el cual se engaña a los usuarios mediante una verificación CAPTCHA falsa. En lugar de resolver un rompecabezas convencional, se instruye a la víctima para que copie y ejecute un comando manualmente en el cuadro de

Stanley: El nuevo servicio de malware que burla la seguridad de la Chrome Web Store

En INGENIERÍA TELEMÁTICA SAS nos mantenemos alerta ante las nuevas tácticas de los ciberdelincuentes. Recientemente, investigadores de seguridad han identificado un nuevo modelo de Malware-as-a-Service (MaaS) denominado ‘Stanley’. Este servicio se especializa en la creación y distribución de extensiones maliciosas diseñadas específicamente para evadir los filtros de seguridad de la

Más de 6.000 servidores SmarterMail en riesgo por vulnerabilidad de secuestro automatizado

Recientemente se ha alertado sobre una vulnerabilidad crítica identificada como CVE-2026-23760 que afecta a los servidores de correo SmarterMail. Esta falla de seguridad, clasificada como una derivación de autenticación (Authentication Bypass), permite a atacantes no autenticados secuestrar cuentas de administrador y ejecutar código de forma remota en los servidores afectados.

Desmantelan red criminal vinculada al Tren de Aragua por ataques de malware Ploutus

Un gran jurado federal en Nebraska ha presentado cargos contra 31 sospechosos adicionales involucrados en una sofisticada red de ataques a cajeros automáticos. La operación, presuntamente liderada por miembros de la organización criminal transnacional Tren de Aragua (TdA), utilizaba el malware Ploutus para extraer millones de dólares en efectivo de

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

  • Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.

  • Entienda las nuevas tácticas y tendencias del cibercrimen.

  • Gratuito, sin spam y con la confianza de Ingeniería Telemática.

Ingresa tus datos para Registrarte