De financiële sector van Zuid-Korea is het doelwit geweest van wat wordt beschreven als een geavanceerde supply chain-aanval die heeft geleid tot de inzet van Qilin-ransomware.
“Deze operatie combineerde de capaciteiten van een grote Ransomware-as-a-Service (RaaS)-groep, Qilin, met potentiële betrokkenheid van Noord-Koreaanse staatsgelieerde actoren (Moonstone Sleet), waarbij gebruik werd gemaakt van het compromis van de Managed Service Provider (MSP) als de initiële toegangsvector”, aldus Bitdefender in een rapport gedeeld met The Hacker News.
Qilin is dit jaar uitgegroeid tot een van de meest actieve ransomware-operaties, waarbij de RaaS-crew in de maand oktober 2025 een “explosieve groei” vertoonde door meer dan 180 slachtoffers te maken. De groep is verantwoordelijk voor 29% van alle ransomware-aanvallen, volgens gegevens van NCC Group.
Het Roemeense cyberbeveiligingsbedrijf zei dat het besloot dieper te graven nadat het in september 2025 een ongebruikelijke piek in ransomware-slachtoffers uit Zuid-Korea had ontdekt, toen het na de VS het op één na meest getroffen land door ransomware werd, met 25 gevallen, een aanzienlijke stijging ten opzichte van een gemiddelde van ongeveer twee slachtoffers per maand tussen september 2024 en augustus 2025.
Uit verdere analyse bleek dat alle 25 gevallen uitsluitend werden toegeschreven aan de Qilin-ransomwaregroep, waarbij 24 van de slachtoffers in de financiële sector vielen. De campagne kreeg de naam Koreaanse lekkages door de aanvallers zelf.
Hoewel de oorsprong van Qilin waarschijnlijk Russisch is, omschrijft de groep zichzelf als ‘politieke activisten’ en ‘patriotten van het land’. Het volgt een traditioneel partnermodel, waarbij een diverse groep hackers wordt gerekruteerd om de aanvallen uit te voeren in ruil voor het in ontvangst nemen van een klein deel van maximaal 20% van de illegale betalingen.
Een bijzondere partner is een Noord-Koreaanse bedreigingsacteur die wordt gevolgd als Moonstone Sleet, die volgens Microsoft een aangepaste ransomwarevariant genaamd FakePenny heeft ingezet bij een aanval gericht op een niet nader genoemd defensietechnologiebedrijf in april 2024.
Toen, eerder deze februari, deed zich een belangrijke ommekeer voor toen werd waargenomen dat de tegenstander Qilin-ransomware bij een beperkt aantal organisaties afleverde. Hoewel het niet precies duidelijk is of de laatste reeks aanvallen inderdaad door de hackgroep is uitgevoerd, komt de aanval op Zuid-Koreaanse bedrijven overeen met de strategische doelstellingen.
Korean Leaks vonden plaats gedurende drie publicatiegolven, resulterend in de diefstal van meer dan 1 miljoen bestanden en 2 TB aan gegevens van 28 slachtoffers. Berichten over slachtoffers die verband houden met vier andere entiteiten zijn verwijderd van de dataleksite (DLS), wat erop wijst dat ze mogelijk zijn verwijderd na onderhandelingen over losgeld of een uniek intern beleid, aldus Bitdefender.
De drie golven zijn als volgt:
- Golf 1bestaande uit 10 slachtoffers uit de sector financieel beheer, gepubliceerd op 14 september 2025
- Golf 2bestaande uit negen slachtoffers die tussen 17 en 19 september 2025 zijn gepubliceerd
- Golf 3bestaande uit negen slachtoffers die tussen 28 september en 4 oktober 2025 zijn gepubliceerd
Een ongebruikelijk aspect van deze lekken is het afwijken van de gevestigde tactieken om druk uit te oefenen op gecompromitteerde organisaties, in plaats daarvan zwaar te leunen op propaganda en politieke taal.
“De hele campagne was opgezet als een poging van de overheid om systemische corruptie aan het licht te brengen, geïllustreerd door de dreigementen om bestanden vrij te geven die ‘bewijs van beursmanipulatie’ zouden kunnen zijn en namen van ‘bekende politici en zakenlieden in Korea’”, zei Bitdefender over de eerste golf van de campagne.
Daaropvolgende golven escaleerden de dreiging nog een stap verder, waarbij werd beweerd dat het lekken van de gegevens een ernstig risico zou kunnen vormen voor de Koreaanse financiële markt. De acteurs riepen ook de Zuid-Koreaanse autoriteiten op om de zaak te onderzoeken, daarbij verwijzend naar strenge wetten op gegevensbescherming.
Een verdere verschuiving in de berichtgeving werd waargenomen tijdens de derde golf, waar de groep aanvankelijk hetzelfde thema van een nationale financiële crisis voortzette als gevolg van het vrijgeven van gestolen informatie, maar vervolgens overschakelde op een taal die ‘meer leek op Qilins typische, financieel gemotiveerde afpersingsberichten.’
Gezien het feit dat Qilin beschikt over een ‘in-house team van journalisten’ om affiliates te helpen met het schrijven van teksten voor blogposts en om druk uit te oefenen tijdens de onderhandelingen, wordt geoordeeld dat de kernleden van de groep achter de publicatie van de DLS-tekst zaten.
“De berichten bevatten een aantal van de kenmerkende grammaticale inconsistenties van de kernoperator”, aldus Bitdefender. “Deze controle over het definitieve ontwerp betekent echter niet dat de affiliate uitgesloten is van een kritische stem in de belangrijkste boodschap of de algemene richting van de inhoud.”
Om deze aanvallen uit te voeren zou het Qilin-filiaal een enkele upstream managed service provider (MSP) hebben overtreden, waarbij de toegang werd benut om meerdere slachtoffers tegelijk in gevaar te brengen. Op 23 september 2025 meldde de Korea JoongAng Daily dat meer dan twintig vermogensbeheerders in het land besmet waren met ransomware als gevolg van het compromis van GJTec.
Om deze risico’s te beperken is het essentieel dat organisaties Multi-Factor Authenticatie (MFA) afdwingen, het Principe van Least Privilege (PoLP) toepassen om de toegang te beperken, kritieke systemen en gevoelige gegevens te segmenteren en proactieve stappen ondernemen om de aanvalsoppervlakken te verkleinen.
“Het MSP-compromis dat de aanleiding vormde voor de ‘Korean Leaks’-operatie benadrukt een cruciale blinde vlek in cybersecurity-discussies”, aldus Bitdefender. “Het exploiteren van een leverancier, aannemer of MSP die toegang heeft tot andere bedrijven is een meer voorkomende en praktische route die RaaS-groepen die op zoek zijn naar geclusterde slachtoffers kunnen volgen.”
