Área clientes

Ransomware Qilin: Ataque a MSP en Corea del Sur Deriva en Robo de Datos de 28 Víctimas

Un sofisticado ataque a la cadena de suministro ha afectado al sector financiero de Corea del Sur, culminando en el despliegue del ransomware Qilin. Según un informe de Bitdefender, la operación combinó las capacidades del grupo Ransomware-as-a-Service (RaaS) Qilin, con la posible participación de actores afiliados al estado de Corea del Norte (Moonstone Sleet), aprovechando el compromiso de un Proveedor de Servicios Gestionados (MSP) como vector de acceso inicial.

Qilin ha surgido como una de las operaciones de ransomware más activas este año, con un crecimiento significativo en octubre de 2025, reclamando más de 180 víctimas y siendo responsable del 29% de todos los ataques de ransomware.

Bitdefender detectó un aumento inusual de víctimas de ransomware en Corea del Sur en septiembre de 2025, con 25 casos, un salto significativo desde un promedio de 2 víctimas por mes entre septiembre de 2024 y agosto de 2025. El análisis reveló que todos los casos se atribuyeron exclusivamente al grupo de ransomware Qilin, con 24 de las víctimas en el sector financiero. Los atacantes denominaron la campaña como ‘Korean Leaks’.

Los actores de amenazas se identifican como ‘activistas políticos’ y ‘patriotas del país’ y operan bajo un modelo de afiliados tradicional, reclutando hackers diversos a cambio de una pequeña parte de los pagos ilícitos (hasta el 20%). Un afiliado notable es Moonstone Sleet, un actor patrocinado por el estado de Corea del Norte.

Korean Leaks se desarrolló en tres olas, resultando en el robo de más de 1 millón de archivos y 2 TB de datos de 28 víctimas. Algunas publicaciones de víctimas fueron eliminadas del sitio de filtración de datos (DLS), posiblemente debido a negociaciones de rescate.

Las olas se distribuyeron de la siguiente manera:

* **Ola 1:** 10 víctimas del sector de gestión financiera (14 de septiembre de 2025).
* **Ola 2:** 9 víctimas (entre el 17 y el 19 de septiembre de 2025).
* **Ola 3:** 9 víctimas (entre el 28 de septiembre y el 4 de octubre de 2025).

La campaña se caracterizó por el uso de propaganda y lenguaje político, con el objetivo de exponer la corrupción sistémica y amenazando con revelar pruebas de manipulación del mercado de valores e información de políticos y empresarios coreanos.

El afiliado de Qilin accedió a múltiples víctimas a través del compromiso de un único MSP. En septiembre de 2025, se informó que más de 20 empresas de gestión de activos en el país fueron infectadas con ransomware tras el compromiso de GJTec.

Para mitigar estos riesgos, es fundamental que las organizaciones implementen la autenticación multifactor (MFA), apliquen el principio de privilegio mínimo (PoLP), segmenten los sistemas críticos y los datos confidenciales, y tomen medidas proactivas para reducir las superficies de ataque.

El compromiso del MSP subraya un punto ciego crítico en las discusiones de ciberseguridad: la explotación de un proveedor, contratista o MSP con acceso a otras empresas es una ruta más frecuente y práctica que los grupos RaaS pueden tomar para atacar a un gran número de víctimas.

Fuente original: Ver aquí

Comparte esta Noticia:


Noticias Relacionadas

Microsoft Mitiga Ataque DDoS Récord de 15.72 Tbps Impulsado por la Botnet AISURU

Microsoft ha anunciado la mitigación exitosa de un ataque de denegación de servicio distribuido (DDoS) sin precedentes, alcanzando un pico de 15.72 terabits por segundo (Tbps) y casi 3.64 mil millones de paquetes por segundo (pps). Este ataque, dirigido a un único punto final en Australia, se originó en una

Hackers Iraníes Utilizan Malware DEEPROOT y TWOSTROKE en Ataques a la Industria Aeroespacial y de Defensa

Un grupo de ciberespionaje presuntamente iraní ha estado utilizando backdoors como TWOSTROKE y DEEPROOT en una serie de ataques continuos contra las industrias aeroespacial, de aviación y de defensa en Medio Oriente. La actividad ha sido atribuida por Mandiant (Google) al grupo UNC1549 (también conocido como GalaxyGato, Nimbus Manticore o

Vulnerabilidad CVE-2025-58034 en FortiWeb: Fortinet Alerta sobre Explotación Activa

Fortinet ha alertado sobre una nueva vulnerabilidad en FortiWeb, identificada como CVE-2025-58034, que está siendo explotada en la naturaleza. Esta vulnerabilidad de severidad media, con una puntuación CVSS de 6.7, es una ‘Neutralización Incorrecta de Elementos Especiales utilizados en un Comando del Sistema Operativo (‘Inyección de Comando del SO’) [CWE-78]’

Vulnerabilidad CVE-2025-11001 en 7-Zip: ¡Actualice Ahora!

Una vulnerabilidad de seguridad recientemente divulgada que afecta a 7-Zip está siendo explotada activamente, según un aviso emitido por U.K. NHS England Digital. La vulnerabilidad en cuestión es CVE-2025-11001 (con una puntuación CVSS de 7.0), que permite a atacantes remotos ejecutar código arbitrario. Esta vulnerabilidad ha sido corregida en la

Troyano Android Sturnus: Captura Silenciosa de Chats Encriptados y Control Total del Dispositivo

Un nuevo troyano bancario para Android, llamado Sturnus, ha sido descubierto con la capacidad de eludir el cifrado de aplicaciones de mensajería y realizar ataques de superposición para robar credenciales bancarias. Según un informe de ThreatFabric, Sturnus captura el contenido directamente de la pantalla del dispositivo después del descifrado, permitiéndole

Apache OpenOffice niega haber sufrido un ataque de ransomware Akira

La Apache Software Foundation (ASF) ha negado categóricamente las afirmaciones del grupo de ransomware Akira, quienes aseguran haber comprometido la seguridad de Apache OpenOffice y robado 23 GB de documentos corporativos. El grupo Akira alega poseer información de empleados, datos financieros y archivos internos confidenciales. La ASF, responsable del proyecto

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

  • Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.

  • Entienda las nuevas tácticas y tendencias del cibercrimen.

  • Gratuito, sin spam y con la confianza de Ingeniería Telemática.

Ingresa tus datos para Registrarte