Edgen Crypto·Nov 27 2025, 12:18Qilin勒索軟體團夥透過入侵一家託管服務提供商 (MSP) 實施了一次複雜的供應鏈攻擊,導致韓國28家金融機構發生重大數據洩露。此次攻擊被宣傳為反腐敗洩密,涉及2TB多數據外泄。
Qilin 勒索軟體團夥對韓國金融部門發動了一次大規模供應鏈攻擊,導致28家機構的數據洩露。透過入侵一家託管服務提供商 (MSP),攻擊者竊取了超過2TB的數據。此次行動被稱為“韓國洩密”,公開宣稱旨在揭露系統性腐敗,研究表明可能涉及與朝鮮有關聯的國家支持的行動者。
此次洩露事件始於對一家未透露名稱的託管服務提供商 (MSP) 的入侵,該提供商為攻擊者提供了進入其客戶網絡的門戶。這種供應鏈攻擊向量使得 Qilin 團夥(該團夥採用勒索軟體即服務 (RaaS) 模式運作)能夠同時入侵28家獨立的金融公司。攻擊者聲稱竊取了超過100萬份文件,總計超過2TB的數據。
在公開聲明中,該團夥將此次攻擊描述為一項公共服務,表示其意圖發布可能“證明股市操縱”並點名“韓國知名政客和商人”的文件。此次行動以一份聲明結束,宣布攻擊已經結束,並聲稱受害者是“一個欺詐者網絡”的一部分,將調查責任推給了韓國當局。
此次事件的特點是其混合性質,結合了主要RaaS團夥的能力與潛在的地緣政治動機。分析表明,可能與據信與朝鮮有關聯的駭客組織 Moonstone Sleet 存在合作。這使得該事件從標準的經濟動機勒索軟體攻擊升級為潛在的受國家影響的資訊戰行動。
網路安全公司 Darktrace 對類似的 Qilin 攻擊進行的技術分析發現異常網路流量,包括異常的伺服器消息塊 (SMB) 和 DCE-RPC 活動、高容量的遠端桌面協議 (RDP) 使用,以及與已知命令與控制 (C2) 伺服器的連接。Qilin 使用的 RaaS 模型透過向分支機構提供工具和基礎設施,實現了這種複雜的、大規模的攻擊。
此次事件對韓國金融市場造成的直接後果是機構聲譽和投資者信心的重大打擊。此次洩露暴露了該行業對第三方服務提供商的依賴中存在的關鍵漏洞,預計將引發監管機構對供應商風險管理協議的嚴格審查。攻擊者聲稱腐敗和市場操縱的敘述旨在進一步侵蝕公眾對金融系統的信任。
經濟損失將超出任何潛在的贖金支付,包括事件響應、取證調查、系統修復和潛在監管罰款的成本。針對MSP的攻擊放大了系統性風險的可能性,因為單點故障可能危及廣泛互聯的機構。
“韓國洩密”事件是針對關鍵基礎設施的複雜網路攻擊日益增多的趨勢的一部分。儘管2025年 Ticketmaster 和 OpenSea 等公司發生了多起數據洩露事件,但此次攻擊因其供應鏈方法和公開的政治信息而脫穎而出。透過將數據竊取描述為揭露並公開要求“韓國執法機構和獨立記者有義務調查這些文件”,攻擊者將竊取的数据武器化,以製造社會和政治混亂,這種策略標誌著勒索軟體行動的重大演變。