VietNetwork.Vn

Ngành tài chính của Hàn Quốc đã trở thành mục tiêu của một cuộc tấn công chuỗi cung ứng tinh vi dẫn đến việc triển khai phần mềm tống tiền Qilin.

Bitdefender cho biết trong một báo cáo chia sẻ với The Hacker News: "Chiến dịch này kết hợp năng lực của nhóm Ransomware-as-a-Service (RaaS) lớn, Qilin, với sự tham gia tiềm ẩn của các tác nhân có liên hệ với nhà nước Triều Tiên (Moonstone Sleet), tận dụng sự xâm nhập của Nhà cung cấp dịch vụ được quản lý (MSP) làm phương thức truy cập ban đầu ".


Qilin đã nổi lên như một trong những hoạt động ransomware tích cực nhất trong năm nay, với nhóm RaaS thể hiện "sự tăng trưởng bùng nổ" trong tháng 10 năm 2025 khi chiếm hơn 180 nạn nhân. Nhóm này chịu trách nhiệm cho 29% tổng số vụ tấn công ransomware, theo dữ liệu từ NCC Group.

Công ty an ninh mạng Romania cho biết họ quyết định tìm hiểu sâu hơn sau khi phát hiện ra sự gia tăng bất thường về số nạn nhân của ransomware từ Hàn Quốc vào tháng 9 năm 2025, khi đây trở thành quốc gia bị ransomware ảnh hưởng nhiều thứ hai sau Hoa Kỳ, với 25 trường hợp, tăng đáng kể so với mức trung bình khoảng 2 nạn nhân mỗi tháng trong khoảng thời gian từ tháng 9 năm 2024 đến tháng 8 năm 2025.

Phân tích sâu hơn cho thấy tất cả 25 trường hợp đều được cho là do nhóm ransomware Qilin gây ra, với 24 nạn nhân thuộc lĩnh vực tài chính. Chính những kẻ tấn công đã đặt cho chiến dịch này biệt danh là Korean Leaks.

Mặc dù Qilin có thể có nguồn gốc từ Nga, nhóm này tự mô tả mình là "những nhà hoạt động chính trị" và "những người yêu nước". Nhóm này hoạt động theo mô hình liên kết truyền thống, bao gồm việc tuyển dụng một nhóm tin tặc đa dạng để thực hiện các cuộc tấn công, đổi lại việc nhận một phần nhỏ trong số tới 20% các khoản thanh toán bất hợp pháp.

Một chi nhánh đáng chú ý là tác nhân đe dọa từ Triều Tiên được theo dõi là Moonstone Sleet, theo Microsoft, đã triển khai một biến thể ransomware tùy chỉnh có tên là FakePenny trong một cuộc tấn công nhắm vào một công ty công nghệ quốc phòng không được nêu tên vào tháng 4 năm 2024.

Sau đó, vào đầu tháng 2, một bước ngoặt đáng kể đã xảy ra khi kẻ tấn công bị phát hiện đang phát tán mã độc tống tiền Qilin vào một số lượng hạn chế các tổ chức. Mặc dù chưa rõ liệu loạt tấn công mới nhất có thực sự do nhóm tin tặc thực hiện hay không, nhưng việc nhắm mục tiêu vào các doanh nghiệp Hàn Quốc phù hợp với các mục tiêu chiến lược của chúng.


Vụ rò rỉ dữ liệu tại Hàn Quốc diễn ra qua ba đợt công bố, dẫn đến việc đánh cắp hơn 1 triệu tệp và 2 TB dữ liệu từ 28 nạn nhân. Bitdefender cho biết các bài đăng của nạn nhân liên quan đến bốn thực thể khác đã bị xóa khỏi trang web rò rỉ dữ liệu (DLS), cho thấy chúng có thể đã bị gỡ xuống sau các cuộc đàm phán đòi tiền chuộc hoặc một chính sách nội bộ đặc biệt.

Ba làn sóng như sau:

    Đợt 1, bao gồm 10 nạn nhân thuộc lĩnh vực quản lý tài chính được công bố vào ngày 14 tháng 9 năm 2025
    Đợt 2, bao gồm chín nạn nhân được công bố từ ngày 17 đến ngày 19 tháng 9 năm 2025
    Đợt 3, bao gồm chín nạn nhân được công bố từ ngày 28 tháng 9 đến ngày 4 tháng 10 năm 2025

Một khía cạnh bất thường về những vụ rò rỉ này là sự thay đổi chiến thuật đã có từ trước là gây sức ép lên các tổ chức bị xâm phạm, thay vào đó là dựa nhiều vào tuyên truyền và ngôn ngữ chính trị.

Bitdefender cho biết về đợt đầu tiên của chiến dịch: "Toàn bộ chiến dịch được xây dựng như một nỗ lực phục vụ cộng đồng nhằm vạch trần nạn tham nhũng có hệ thống, thể hiện qua các mối đe dọa công bố các tập tin có thể là 'bằng chứng thao túng thị trường chứng khoán' và tên của 'các chính trị gia và doanh nhân nổi tiếng ở Hàn Quốc'".

Các làn sóng tiếp theo tiếp tục làm gia tăng mối đe dọa, cho rằng việc rò rỉ dữ liệu có thể gây ra rủi ro nghiêm trọng cho thị trường tài chính Hàn Quốc. Các bên cũng kêu gọi chính quyền Hàn Quốc điều tra vụ việc, viện dẫn luật bảo vệ dữ liệu nghiêm ngặt.

Một sự thay đổi nữa trong thông điệp được quan sát thấy trong làn sóng thứ ba, khi nhóm này ban đầu tiếp tục chủ đề về cuộc khủng hoảng tài chính quốc gia do việc phát tán thông tin bị đánh cắp, nhưng sau đó chuyển sang ngôn ngữ "giống hơn với các thông điệp tống tiền điển hình có động cơ tài chính của Qilin".

Vì Qilin tự hào có một "đội ngũ nhà báo nội bộ" giúp các chi nhánh viết văn bản cho các bài đăng trên blog và tạo áp lực trong quá trình đàm phán, nên người ta đánh giá rằng các thành viên cốt cán của nhóm này đứng sau việc công bố văn bản DLS.

"Các bài đăng chứa một số lỗi ngữ pháp đặc trưng của nhà điều hành cốt lõi", Bitdefender cho biết. "Tuy nhiên, việc kiểm soát bản thảo cuối cùng này không có nghĩa là bên liên kết bị loại khỏi việc có tiếng nói quan trọng trong thông điệp chính hoặc định hướng chung của nội dung."

Để thực hiện các cuộc tấn công này, chi nhánh Qilin được cho là đã xâm nhập vào một nhà cung cấp dịch vụ được quản lý (MSP) thượng nguồn duy nhất, lợi dụng quyền truy cập để xâm nhập nhiều nạn nhân cùng một lúc. Vào ngày 23 tháng 9 năm 2025, tờ Korea JoongAng Daily đưa tin hơn 20 công ty quản lý tài sản trong nước đã bị nhiễm ransomware sau vụ xâm nhập GJTec.

Để giảm thiểu những rủi ro này, điều cần thiết là các tổ chức phải thực thi Xác thực đa yếu tố (MFA), áp dụng Nguyên tắc đặc quyền tối thiểu (PoLP) để hạn chế quyền truy cập, phân đoạn các hệ thống quan trọng và dữ liệu nhạy cảm, đồng thời thực hiện các bước chủ động để giảm bề mặt tấn công.

"Vụ xâm nhập MSP dẫn đến chiến dịch 'Korean Leaks' đã làm nổi bật một điểm mù nghiêm trọng trong các cuộc thảo luận về an ninh mạng", Bitdefender cho biết. "Việc khai thác một nhà cung cấp, nhà thầu hoặc MSP có quyền truy cập vào các doanh nghiệp khác là một con đường phổ biến và thực tế hơn mà các nhóm RaaS tìm kiếm nạn nhân tập trung có thể thực hiện."