Edgen Crypto·Nov 27 2025, 12:18Qilin勒索软件团伙通过入侵一家托管服务提供商 (MSP) 实施了一次复杂的供应链攻击,导致韩国28家金融机构发生重大数据泄露。此次攻击被宣传为反腐败泄密,涉及2TB多数据外泄。
Qilin 勒索软件团伙对韩国金融部门发动了一次大规模供应链攻击,导致28家机构的数据泄露。通过入侵一家托管服务提供商 (MSP),攻击者窃取了超过2TB的数据。此次行动被称为“韩国泄密”,公开宣称旨在揭露系统性腐败,研究表明可能涉及与朝鲜有关联的国家支持的行动者。
此次泄露事件始于对一家未透露名称的托管服务提供商 (MSP) 的入侵,该提供商为攻击者提供了进入其客户网络的门户。这种供应链攻击向量使得 Qilin 团伙(该团伙采用勒索软件即服务 (RaaS) 模式运作)能够同时入侵28家独立的金融公司。攻击者声称窃取了超过100万份文件,总计超过2TB的数据。
在公开声明中,该团伙将此次攻击描述为一项公共服务,表示其意图发布可能“证明股市操纵”并点名“韩国知名政客和商人”的文件。此次行动以一份声明结束,宣布攻击已经结束,并声称受害者是“一个欺诈者网络”的一部分,将调查责任推给了韩国当局。
此次事件的特点是其混合性质,结合了主要RaaS团伙的能力与潜在的地缘政治动机。分析表明,可能与据信与朝鲜有关联的黑客组织 Moonstone Sleet 存在合作。这使得该事件从标准的经济动机勒索软件攻击升级为潜在的受国家影响的信息战行动。
网络安全公司 Darktrace 对类似的 Qilin 攻击进行的技术分析发现异常网络流量,包括异常的服务器消息块 (SMB) 和 DCE-RPC 活动、高容量的远程桌面协议 (RDP) 使用,以及与已知命令与控制 (C2) 服务器的连接。Qilin 使用的 RaaS 模型通过向分支机构提供工具和基础设施,实现了这种复杂的、大规模的攻击。
此次事件对韩国金融市场造成的直接后果是机构声誉和投资者信心的重大打击。此次泄露暴露了该行业对第三方服务提供商的依赖中存在的关键漏洞,预计将引发监管机构对供应商风险管理协议的严格审查。攻击者声称腐败和市场操纵的叙述旨在进一步侵蚀公众对金融系统的信任。
经济损失将超出任何潜在的赎金支付,包括事件响应、取证调查、系统修复和潜在监管罚款的成本。针对MSP的攻击放大了系统性风险的可能性,因为单点故障可能危及广泛互联的机构。
“韩国泄密”事件是针对关键基础设施的复杂网络攻击日益增多的趋势的一部分。尽管2025年 Ticketmaster 和 OpenSea 等公司发生了多起数据泄露事件,但此次攻击因其供应链方法和公开的政治信息而脱颖而出。通过将数据窃取描述为揭露并公开要求“韩国执法机构和独立记者有义务调查这些文件”,攻击者将窃取的数据武器化,以制造社会和政治混乱,这种策略标志着勒索软件行动的重大演变。