La campagna Korean Leaks trasforma un MSP in una testa di ponte per colpire la finanza sudcoreana, combinando supply chain attack e doppia estorsione mediatizzata.
Autore: Redazione SecurityOpenLab
Si chiama The Korean Leaks la minaccia identificata da Bitdefender che si configura come una delle campagne ransomware più sofisticate e mirate degli ultimi anni. Protagonista è il noto gruppo Qilin, un collettivo Ransomware-as-a-Service che ha concentrato i suoi attacchi quasi esclusivamente sul settore dei servizi finanziari sudcoreani, con una strategia di supply chain attack che offre spunti di riflessione significativi per la cybersecurity. Bitdefender accredita la possibile collaborazione di affiliati statali nordcoreani, in particolare il gruppo Moonstone Sleet, che avrebbe agito come partner della campagna, a conferma del progressivo avvicinamento tra logiche criminali e interessi geopolitici.
L’operazione ha portato a una vera e propria impennata di incidenti ransomware in Corea del Sud: solo nel mese di settembre 2025 sono state accertate 25 vittime, di cui il 97% operava nel settore finanziario. Il modus operandi è chiaro: la compromissione di un Managed Service Provider locale che forniva accesso privilegiato a numerose aziende di asset management, ha reso possibile un attacco simultaneo e coordinato con esfiltrazione di dati e successiva pubblicazione di oltre un milione di file e almeno 2 TB di dati sensibili. In alcuni casi, la rimozione di post relativi a specifiche vittime suggerisce accordi privati o trattative di riscatto coperte dal riserbo.
L’indagine di Bitdefender sottolinea non solo la rapidità e l’ampiezza dell’attacco, ma anche la capacità di costruire una narrazione mediatica inedita sul sito di rivendicazione di Qilin. Il gruppo si autodefinisce “attivista politico” e mette l’accento sul ruolo di promotote della denuncia di illeciti, arrivando a descrivere i dati sottratti come una prova delle manipolazioni di mercato, del coinvolgimento di politici e businessman noti, e di possibili danni sistemici al mercato finanziario sudcoreano. I toni sono apertamente ostili e non mancano i riferimenti alle severe normative locali sulla protezione dei dati personali. Una strategia di comunicazione che secondo gli stessi attaccanti è stata messa a punto da un team interno di giornalisti e che ha in realtà l’effetto di massimizzare l’efficacia della doppia estorsione insistendo anche su un forte effetto intimidatorio verso istituzioni ed enti regolatori.
Il complesso impianto della campagna Korean Leaks si sviluppa in tre ondate, andate in scena tra metà settembre e inizio ottobre 2025. La prima vede la pubblicazione simultanea di dieci vittime del settore financial management; segue una seconda serie di nove leak che inaspriscono il tono minacciando esplicitamente una crisi di fiducia dei mercati. Nella terza fase, il focus torna sulla singola azienda e sulla pressione ricattatoria tradizionale, segno che all’interno del gruppo RaaS permangono equilibri e dialettiche fra affiliazione criminale e obiettivi geopolitici.
Sul piano tecnico, la compromissione dell'MSP rappresenta il vettore d’attacco più plausibile e inequivocabile, dato che ha agevolato l’accesso a decine di asset management, bypassando le difese delle singole organizzazioni. Bitdefender considera altre ipotesi come l’utilizzo di uno zero-day o la raccolta massiva di credenziali tramite il dark web, ma le evidenze pubbliche e la tempistica dell’incidente convergono sull’MSP come single point of failure.
Il report analizza i punti di contatto e rottura con le tipiche supply chain attack. Invece del modus operandi di Solar Winds che vide l’introduzione di codice malevolo upstream, in questo caso l’operazione si è concentrata sulla compromissione di terze parti, che all’atto pratico garantisce la replicabilità del danno e agevola i movimenti laterali. L’intersezione tra cybercrime organizzato (modello RaaS) e Advanced Persistent Threat (Moonstone Sleet) rappresenta un elemento di ulteriore interesse. Da un lato, la piattaforma RaaS semplifica la gestione delle infrastrutture tecniche e comunicative, abbattendo il livello di ingresso per partner criminali e rendendo “as a service” anche la capacità intimidatoria. Dall’altro, la convergenza con attori statali permette agli APT di monetizzare le azioni offensive, sostenere discorsi di plausibile negazione e massimizzare il danno reputazionale e materiale alle economie target.
Sul versante difensivo, Bitdefender ribadisce la centralità delle strategie defense in depth: occorrono MFA, segmentazione delle reti, PoLP rigoroso e monitoraggio costante degli endpoint (EDR/XDR/MDR, a seconda della maturità SecOps interna), con attenzione particolare alle configurazioni dei fornitori terzi. Una riflessione finale nel report suggerisce alle aziende di operazionalizzare, ossia di attivare e monitorare gli strumenti di sicurezza già presenti, spesso sottoutilizzati o lasciati in stato di default.