Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Banner Mobile V1
Crowdstriker 970×120
El ransomware Qilin ataca profundamente las finanzas de Corea del Sur

El ransomware Qilin ataca profundamente las finanzas de Corea del Sur

Inva Malaj : 19 septiembre 2025 10:43

Imagina despertarte una mañana y descubrir que tus datos financieros confidenciales (contratos, listas de clientes, estrategias de inversión) están expuestos en un sitio oculto en la red oscura, con un temporizador que amenaza con hacerlos públicos a menos que pagues un rescate. Esto es exactamente lo que les ocurrió a diez empresas de gestión de activos en Corea del Sur, víctimas de la campaña «Korean Leak», orquestada por el grupo de ransomware Qilin.

La campaña «Korean Leak»: Las diez víctimas y los datos expuestos

Mediante el monitoreo de CTI y OSINT, con fuentes como Ransomware.live y H4ckmanac, se reveló que el grupo Qilin tenía como objetivo el sector de gestión de activos de Corea del Sur. La verificación directa en su sitio web Onion confirmó la publicación, el 14 de septiembre, de perfiles de víctimas identificados como «Korean Leak», acompañados de muestras de datos exfiltrados. A continuación, se presentan las diez organizaciones afectadas, según las reclamaciones verificadas y los IOC extraídos del Sitio de Fuga de Datos (DLS):

  1. Human & Bridge Asset Management: Reclamación con ejemplos de informes financieros y listas de clientes; el IOC incluye un punto final FTP para la exfiltración.
  2. Vanchor Asset Management: Detalles publicados sobre las carteras de los inversores; hashes MD5 asociados a los archivos filtrados.
  3. Klarman Asset Management: Tarjeta con capturas de pantalla de documentos internos. IP rastreadas para comando y control.
  4. Taurus Investment & Securities Co: Datos de RR. HH. y socios expuestos; herramientas de exfiltración como WinSCP identificadas en los registros.
  5. Apex Asset Management: Fuga de análisis de riesgos; archivo hash.
  6. LX Asset Management: Presupuestos y proyecciones publicados; IOC incluye Proxychains para la creación de redes.
  7. Majesty Asset Management Co: Datos de cumplimiento y contabilidad; se mencionan herramientas de evasión como EDRSandBlast.
  8. Melon Asset Management Co: Listas de inversores exfiltradas; robo de credenciales a través de Mimikatz.
  9. Pollex Asset Management Co: Análisis interno de fusiones y adquisiciones; IP C2.
  10. Awesome Asset Management Co: Planes de marketing y datos maestros; Exfiltración a través de EasyUpload.io.

Estas afirmaciones muestran un patrón de publicación progresivo: vistas previas iniciales seguidas de volcados completos si no se paga el rescate.

El origen de Qilin: De la mitología a la ciberamenaza

Qilin no es solo un nombre: deriva de una criatura mitológica china que simboliza un cambio trascendental, y el grupo lo utiliza para afirmar una misión que va más allá del lucro criminal. Como se desprende de la entrevista exclusiva de Red Hot Cyber, Qilin se presenta como partidario de un «mundo multipolar», con tintes antioccidentales y una estructura descentralizada que involucra equipos en múltiples países. Pero tras la retórica se esconde una sofisticada operación RaaS (Ransomware como servicio), con cargas útiles desarrolladas internamente en Rust y C para evadir las defensas.

El grupo lleva activo desde 2022 y ha escalado posiciones en el ranking de amenazas: solo en abril de 2025, se cobró 72 víctimas, incluyendo la ola surcoreana. Su infraestructura incluye un sitio de filtración de datos (DLS) en Tor, conocido como «WikiLeaks V2», accesible a través de direcciones onion como ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion, donde publican datos con fines de extorsión.

Cómo funciona el ataque: Tácticas y herramientas supuestas

En la entrevista con Red Hot Cyber, Qilin revela que usan «todo»: phishing, exploits de día cero y día uno investigados internamente y exposición prolongada a las redes para estudiar los procesos antes del cifrado. Su paquete incluye:

  • Descubrimiento: Nmap, Nping para mapeo de red.
  • Herramientas RMM: ScreenConnect para acceso remoto.
  • Evasión de defensa: EDRSandBlast, PowerTool, controladores como la administración de energía de Toshiba para BYOVD.
  • Robo de credenciales: Mimikatz para la extracción de credenciales.
  • OffSec: Cobalt Strike, Evilginx, NetExec para ejecución avanzada.
  • Redes: Proxychains para anonimización.
  • LOLBAS: fsutil, PsExec, WinRM para el abuso de herramientas legítimas.
  • Exfiltración: EasyUpload.io para la carga de datos.

Los IOC extraídos incluyen IP C2 como 176.113.115.97 y numerosos hashes de carga útil MD5, lo que confirma el uso de FTP para la transferencia de datos robados.

El modelo de negocio: RaaS y presión legal

Qilin opera como un RaaS con una distribución 80/20 (afiliados/servicio), y se declara que parte de los ingresos se asigna a «Movimientos por la libertad». La «doble extorsión» ha evolucionado: además del cifrado, amenazan con subastas, venta a la competencia o divulgación completa. Incluso ofrecen «inmunidad» preventiva por una tarifa, similar a una «vacuna».

En 2025, añadieron el «paquete de intimidación»: equipos legales y periodísticos internos para negociaciones y campañas mediáticas, con 1 PB de almacenamiento y herramientas DDoS integradas. Qilin no es solo código: es una amenaza híbrida que combina delincuencia, ideología e innovación. Comprenderla es el primer paso para contrarrestarla.

Artículos destacados

Immagine del sito
¡Sin carne ni huesos, solo código! Llega el primer presentador de IA de Channel 4.
Di Redazione RHC - 24/10/2025

El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...

Immagine del sito
Rusia y el cibercrimen: un equilibrio entre la represión selectiva y el interés estatal
Di Ada Spinelli - 24/10/2025

El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...

Immagine del sito
Hackean la web de la FIA: datos personales de Max Verstappen y más de 7.000 pilotos expuestos
Di Redazione RHC - 24/10/2025

Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...

Immagine del sito
Inteligencia Artificial General (AGI): se ha definido el primer estándar global para medirla
Di Redazione RHC - 23/10/2025

El 21 de octubre de 2025, un equipo internacional de investigadores de 29 instituciones líderes, incluidas la Universidad de Stanford, el MIT y la Universidad de California en Berkeley, completó un ...

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...