Qilin Ransomware Turns South Korean MSP Breach Into 28-Victim Korean Leaks Data Heist

1 minute de lecture

Mis à jour : November 26, 2025

Campagne “Korean Leaks” : le ransomware Qilin exploite une brèche chez un fournisseur de services pour viser le secteur financier sud-coréen

Une campagne de cyberattaque sophistiquée, baptisée “Korean Leaks” par ses auteurs, a ciblé le secteur financier sud-coréen. Elle est attribuée au groupe de ransomware-as-a-service (RaaS) Qilin, avec une possible implication d’acteurs affiliés à la Corée du Nord (Moonstone Sleet). L’attaque initiale a été facilitée par la compromission d’un fournisseur de services gérés (MSP), permettant ainsi d’atteindre simultanément de multiples victimes.

Cette campagne a entraîné le vol de plus d’un million de fichiers et 2 To de données auprès de 28 organisations. Elle s’est déroulée en trois vagues distinctes entre septembre et octobre 2025, ciblant principalement le secteur de la gestion financière. Une particularité de cette opération réside dans la rhétorique utilisée, qui mêle des accusations de corruption et des menaces de déstabilisation du marché financier coréen, s’écartant des messages plus classiques de demande de rançon.

Points Clés :

Type d’attaque : Attaque par chaîne d’approvisionnement (supply chain attack) via la compromission d’un MSP.
Logiciel malveillant : Ransomware Qilin.
Auteurs potentiels : Groupe RaaS Qilin, potentiellement lié à des acteurs nord-coréens (Moonstone Sleet).
Cibles : Principalement le secteur financier sud-coréen.
Volume de données volées : Plus de 1 million de fichiers, 2 To de données.
Nombre de victimes : 28 organisations compromises.
Tactiques : Utilisation de la propagande et d’un langage politique pour exercer une pression sur les victimes, en plus de l’extorsion financière traditionnelle.

Vulnérabilités :

L’article ne mentionne pas de CVE spécifiques associées à cette campagne. La vulnérabilité principale exploitée est la confiance accordée aux fournisseurs de services externes (MSP), qui détiennent des accès privilégiés aux réseaux de leurs clients.

Recommandations :

Mettre en place l’authentification multifacteur (MFA).
Appliquer le principe du moindre privilège (PoLP) pour restreindre les accès.
Segmenter les systèmes critiques et les données sensibles.
Adopter des mesures proactives pour réduire la surface d’attaque.
Évaluer et renforcer la sécurité des fournisseurs tiers (MSP) et des partenaires ayant accès aux systèmes de l’organisation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Qilin Ransomware Turns South Korean MSP Breach Into 28-Victim Korean Leaks Data Heist

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast