El ransomware Qilin ataca profundamente las finanzas de Corea del Sur

Inva Malaj : 19 septiembre 2025 10:43

Imagina despertarte una mañana y descubrir que tus datos financieros confidenciales (contratos, listas de clientes, estrategias de inversión) están expuestos en un sitio oculto en la red oscura, con un temporizador que amenaza con hacerlos públicos a menos que pagues un rescate. Esto es exactamente lo que les ocurrió a diez empresas de gestión de activos en Corea del Sur, víctimas de la campaña «Korean Leak», orquestada por el grupo de ransomware Qilin.

La campaña «Korean Leak»: Las diez víctimas y los datos expuestos

Mediante el monitoreo de CTI y OSINT, con fuentes como Ransomware.live y H4ckmanac, se reveló que el grupo Qilin tenía como objetivo el sector de gestión de activos de Corea del Sur. La verificación directa en su sitio web Onion confirmó la publicación, el 14 de septiembre, de perfiles de víctimas identificados como «Korean Leak», acompañados de muestras de datos exfiltrados. A continuación, se presentan las diez organizaciones afectadas, según las reclamaciones verificadas y los IOC extraídos del Sitio de Fuga de Datos (DLS):

1. Human & Bridge Asset Management: Reclamación con ejemplos de informes financieros y listas de clientes; el IOC incluye un punto final FTP para la exfiltración.
2. Vanchor Asset Management: Detalles publicados sobre las carteras de los inversores; hashes MD5 asociados a los archivos filtrados.
3. Klarman Asset Management: Tarjeta con capturas de pantalla de documentos internos. IP rastreadas para comando y control.
4. Taurus Investment & Securities Co: Datos de RR. HH. y socios expuestos; herramientas de exfiltración como WinSCP identificadas en los registros.
5. Apex Asset Management: Fuga de análisis de riesgos; archivo hash.
6. LX Asset Management: Presupuestos y proyecciones publicados; IOC incluye Proxychains para la creación de redes.
7. Majesty Asset Management Co: Datos de cumplimiento y contabilidad; se mencionan herramientas de evasión como EDRSandBlast.
8. Melon Asset Management Co: Listas de inversores exfiltradas; robo de credenciales a través de Mimikatz.
9. Pollex Asset Management Co: Análisis interno de fusiones y adquisiciones; IP C2.
10. Awesome Asset Management Co: Planes de marketing y datos maestros; Exfiltración a través de EasyUpload.io.

Estas afirmaciones muestran un patrón de publicación progresivo: vistas previas iniciales seguidas de volcados completos si no se paga el rescate.

El origen de Qilin: De la mitología a la ciberamenaza

Qilin no es solo un nombre: deriva de una criatura mitológica china que simboliza un cambio trascendental, y el grupo lo utiliza para afirmar una misión que va más allá del lucro criminal. Como se desprende de la entrevista exclusiva de Red Hot Cyber, Qilin se presenta como partidario de un «mundo multipolar», con tintes antioccidentales y una estructura descentralizada que involucra equipos en múltiples países. Pero tras la retórica se esconde una sofisticada operación RaaS (Ransomware como servicio), con cargas útiles desarrolladas internamente en Rust y C para evadir las defensas.

El grupo lleva activo desde 2022 y ha escalado posiciones en el ranking de amenazas: solo en abril de 2025, se cobró 72 víctimas, incluyendo la ola surcoreana. Su infraestructura incluye un sitio de filtración de datos (DLS) en Tor, conocido como «WikiLeaks V2», accesible a través de direcciones onion como ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion, donde publican datos con fines de extorsión.

Cómo funciona el ataque: Tácticas y herramientas supuestas

En la entrevista con Red Hot Cyber, Qilin revela que usan «todo»: phishing, exploits de día cero y día uno investigados internamente y exposición prolongada a las redes para estudiar los procesos antes del cifrado. Su paquete incluye:

• Descubrimiento: Nmap, Nping para mapeo de red.
• Herramientas RMM: ScreenConnect para acceso remoto.
• Evasión de defensa: EDRSandBlast, PowerTool, controladores como la administración de energía de Toshiba para BYOVD.
• Robo de credenciales: Mimikatz para la extracción de credenciales.
• OffSec: Cobalt Strike, Evilginx, NetExec para ejecución avanzada.
• Redes: Proxychains para anonimización.
• LOLBAS: fsutil, PsExec, WinRM para el abuso de herramientas legítimas.
• Exfiltración: EasyUpload.io para la carga de datos.

Los IOC extraídos incluyen IP C2 como 176.113.115.97 y numerosos hashes de carga útil MD5, lo que confirma el uso de FTP para la transferencia de datos robados.

El modelo de negocio: RaaS y presión legal

Qilin opera como un RaaS con una distribución 80/20 (afiliados/servicio), y se declara que parte de los ingresos se asigna a «Movimientos por la libertad». La «doble extorsión» ha evolucionado: además del cifrado, amenazan con subastas, venta a la competencia o divulgación completa. Incluso ofrecen «inmunidad» preventiva por una tarifa, similar a una «vacuna».

En 2025, añadieron el «paquete de intimidación»: equipos legales y periodísticos internos para negociaciones y campañas mediáticas, con 1 PB de almacenamiento y herramientas DDoS integradas. Qilin no es solo código: es una amenaza híbrida que combina delincuencia, ideología e innovación. Comprenderla es el primer paso para contrarrestarla.

Inva Malaj


Lista degli articoli