Bitdefender, empresa mundial en ciberseguridad, ha publicado una nueva investigación sobre la campaña de ransomware Korean Leaks, en la que expone cómo Qilin, un grupo de ransomware-as-a-service (RaaS) habitualmente centrado en beneficios económicos, está mostrando ahora claras ambiciones geopolíticas en ataques dirigidos contra el sector financiero de Corea del Sur.

La investigación ofrece uno de los análisis más completos realizados hasta la fecha sobre la operación Korean Leaks de Qilin, combinando información procedente de su Data Leak Site, investigación OSINT y datos obtenidos de la Dark Web. El análisis de Bitdefender revela que la campaña incorporó mensajes de propaganda con carga política en las notas de rescate —una táctica inusual para un grupo centrado en beneficios económicos— con el fin de presentar las filtraciones como una denuncia de corrupción y socavar la confianza en el sistema financiero surcoreano.

Posteriormente, Qilin intentó eliminar estas comunicaciones, probablemente a petición de sus afiliados, borrando el contenido de su Data Leak Site.

Además, el estudio apunta a que Moonstone Sleet, un grupo APT vinculado a Corea del Norte y conocido colaborador de Qilin, podría haber participado en la operación, lo que difumina aún más la frontera entre el cibercrimen financiero y la actividad alineada con un Estado.

Principales hallazgos

• La campaña analizada por Bitdefender afectó de forma específica a empresas del sector financiero surcoreano —principalmente gestoras de activos— tras comprometer a un proveedor de servicios gestionados (MSP) que ofrecía soporte TI a varias víctimas.

• El ataque se atribuye al grupo Qilin, un operador de RaaS, con indicios de colaboración de Moonstone Sleet, un vinculado a Corea del Norte.

• Aunque Qilin actúa habitualmente con fines económicos, en esta campaña incorporó mensajes políticos y de propaganda en sus comunicaciones, presentando las filtraciones como una revelación de supuesta “corrupción” en el sector financiero surcoreano, un giro inusual respecto a las tácticas típicas de las operaciones de ransomware.

• La operación explotó la cadena de suministro, comprometiendo a un proveedor externo en lugar de atacar directamente a las víctimas finales, lo que demuestra la vulnerabilidad de los servicios de terceros como vía de entrada para campañas de ransomware a gran escala.

• Bitdefender evalúa que esta campaña representa un modelo híbrido de cooperación entre actores estatales y criminales, combinando los mecanismos económicos del ransomware con motivaciones geopolíticas.

• Qilin intentó posteriormente eliminar los mensajes propagandísticos de su Data Leak Site, lo que apunta a tensiones con sus afiliados y a un intento de controlar la narrativa pública de la campaña.

Bitdefender insta a las instituciones financieras y a las empresas de la región afectada a extremar la vigilancia y aplicar las recomendaciones detalladas en el informe.