Il settore finanziario della Corea del Sud è stato recentemente colpito da un sofisticato attacco alla supply chain che ha portato alla diffusione del ransomware Qilin. Questo attacco, orchestrato da uno dei gruppi RaaS (Ransomware-as-a-Service) più attivi del 2025, ha avuto come vettore iniziale la compromissione di un Managed Service Provider (MSP), sfruttando così l’accesso a numerose aziende clienti in modo simultaneo. L’operazione ha visto la collaborazione di Qilin, con possibili legami a gruppi statali nordcoreani come Moonstone Sleet, rendendo il quadro ancora più complesso e minaccioso.

La crescita di Qilin e la campagna Korean Leaks

Qilin si è distinto per una crescita esplosiva nei mesi recenti, arrivando a rivendicare oltre 180 vittime solo ad ottobre 2025 e rappresentando il 29% di tutti gli attacchi ransomware. La campagna in Corea del Sud, soprannominata Korean Leaks, si è concentrata quasi esclusivamente sul settore finanziario, con 24 dei 25 casi individuati nel mese di settembre 2025 relativi a questo ambito. In precedenza, la Corea registrava una media di soli 2 casi mensili, sottolineando la drammatica escalation avvenuta in poco tempo.

Sviluppo dell’attacco e tecniche utilizzate

L’attacco Korean Leaks si è sviluppato in tre ondate, durante le quali sono stati sottratti oltre un milione di file e 2 TB di dati da 28 vittime. Le prime dieci vittime, tutte provenienti dal settore della gestione finanziaria, sono state colpite a metà settembre, seguite da altre due ondate nel giro di poche settimane. Un elemento peculiare di questa campagna è stato l’uso intensivo della propaganda politica e la minaccia di divulgazione di dati che potrebbero dimostrare manipolazioni di mercato e coinvolgimenti di figure di spicco del panorama economico e politico coreano.

Strategie di comunicazione e pressione sulle vittime

I criminali hanno abbandonato le tradizionali tecniche di pressione diretta per orientarsi verso una comunicazione strategica, presentando l’attacco come un servizio pubblico volto a denunciare la corruzione sistemica. Solo nella terza ondata si è tornati a un linguaggio più tipico dell’estorsione finanziaria. È emerso che il gruppo Qilin dispone di un team interno di “giornalisti” che supporta gli affiliati nella stesura dei messaggi usati per aumentare la pressione durante le trattative.

L’importanza della sicurezza degli MSP e delle best practice

L’elemento chiave che ha permesso l’attacco su larga scala è stata la compromissione di un unico MSP upstream, che ha fornito agli attaccanti accesso a decine di aziende contemporaneamente. Questo episodio mette in evidenza quanto sia cruciale per le aziende adottare strategie avanzate di sicurezza come l’autenticazione a più fattori (MFA), la segmentazione delle reti e l’applicazione del principio del minimo privilegio, al fine di ridurre la superficie d’attacco e proteggere i dati sensibili.