Ransomware Qilin atinge setor financeiro da Coreia do Sul em ataque massivo à cadeia de suprimentos
Quantum News 
Operação cibercriminosa explora fornecedores de serviços gerenciados (MSPs) para comprometer dezenas de empresas simultaneamente.
Uma nova e agressiva campanha do grupo de ransomware Qilin colocou a Coreia do Sul em estado de alerta máximo. Especialistas em segurança cibernética identificaram uma onda de ataques que explorou vulnerabilidades em cadeias de suprimentos, resultando no comprometimento de mais de 20 empresas de gestão de ativos e instituições financeiras em um curto período.
O vetor de ataque: Fornecedores de Serviços Gerenciados (MSPs)
Diferente de invasões diretas, os operadores do Qilin optaram por uma estratégia de “um para muitos”. Ao comprometer um único Fornecedor de Serviços Gerenciados (MSP) — identificado em relatórios locais como a empresa de tecnologia GJTec —, os atacantes conseguiram acesso privilegiado às redes de múltiplos clientes finais simultaneamente. Esta técnica, conhecida como ataque à cadeia de suprimentos, permite que cibercriminosos ampliem exponencialmente o impacto de uma única invasão.
Relatórios indicam que o grupo Qilin exibiu um “crescimento explosivo” em outubro de 2025, reivindicando mais de 180 vítimas globais. A Coreia do Sul tornou-se o segundo país mais afetado, logo atrás dos Estados Unidos, sinalizando uma mudança estratégica no foco geográfico da organização.
Possível conexão com a Coreia do Norte
Uma análise mais aprofundada da campanha, apelidada de “Korean Leaks”, sugere uma colaboração ou sobreposição tática com atores estatais. Pesquisadores da Bitdefender apontaram para possíveis ligações entre o Qilin e o grupo de ameaça Moonstone Sleet, associado à Coreia do Norte. O Moonstone Sleet, que anteriormente utilizava variantes de ransomware personalizadas como o FakePenny, parece ter adotado a infraestrutura do Qilin para monetizar suas operações de espionagem e sabotagem.
Mitigação e Defesa
O incidente ressalta a importância crítica de proteger a infraestrutura de terceiros. Especialistas recomendam que organizações, especialmente no setor financeiro, revisem rigorosamente as permissões de acesso concedidas a MSPs. A implementação de Autenticação Multifator (MFA) resistente a phishing e a aplicação estrita do Princípio do Menor Privilégio (PoLP) são citadas como barreiras essenciais para conter a propagação lateral desse tipo de ameaça.
