Secondo una ricerca di Bitdefender nella campagna Korean Leaks, il gruppo Ransomware-as-a-Service (RaaS) Qilin manifesta inedite ambizioni geopolitiche con attacchi mirati contro la Corea del Sud. La ricerca fornisce una delle analisi più complete dell’operazione Korean Leaks condotta da Qilin. L’analisi combina le informazioni raccolte dal sito di divulgazione di dati di Qilin, dalle ricerche OSINT (Open Source Intelligence) e da informazioni reperite nel dark web.
Qual è il modus operandi di Qilin
L’indagine rivela che la campagna di Qilin ha inserito messaggi di propaganda politica nelle richieste di riscatto. Una scelta insolita per un gruppo ransomware normalmente guidato da interessi economici, con l’obiettivo di presentare le fughe di dati come denunce di corruzione e indebolire la fiducia nel sistema finanziario della Corea del Sud. Qilin ha successivamente tentato di eliminare queste comunicazioni, probabilmente su richiesta degli affiliati, ripulendo il proprio sito dedicato alla fuga di dati.
Ulteriori analisi suggeriscono inoltre che Moonstone Sleet, gruppo APT legato alla Corea del Nord e affiliato di Qilin, possa aver partecipato all’operazione. Questo rende così ancora più labile il confine tra criminalità informatica di tipo finanziario e attività supportate dagli Stati.
Come cambia la narrativa standard dei ransomware
Bitdefender ha analizzato una campagna mirata che ha colpito il settore finanziario della Corea del Sud, in particolare le società di gestione patrimoniale. Sfruttando la violazione di un Managed Service Provider (MSP) che forniva servizi IT a diverse aziende prese di mira. Gruppo generalmente motivato da interessi finanziari, Qilin ha introdotto messaggi di natura politica e propagandistica, presentando le fughe di notizie come denuncia della ‘corruzione’ nel settore finanziario sudcoreano. Discostandosi in modo significativo, quindi, dalla narrativa standard dei ransomware.
Effetti dell’attacco
L’attacco ha violato la supply chain anziché colpire le vittime direttamente. Mettendo così in luce come i service provider possano rappresentare punti di accesso critici per operazioni ransomware su larga scala. Bitdefender ritiene che questa campagna costituisca un modello ibrido di collaborazione tra Stato e criminalità, combinando logica economica del ransomware con obiettivi geopolitici.
