La campagne « Korean Leaks » menée par le groupe Qilin illustre une nouvelle ère du ransomware. Entre piratage massif et propagande ciblée, cette opération hybride menace l’intégrité d’un écosystème économique entier.
Le groupe de ransomware Qilin, jusqu’ici connu pour sa quête de profit, a opéré un virage stratégique inattendu. En septembre 2025, il orchestre une campagne sophistiquée qui vise le secteur financier sud-coréen. L’opération « Korean Leaks » mêle exfiltration de données, communication politique et potentielle collusion avec la Corée du Nord. Une campagne inédite qui interpelle jusqu’aux experts en cybersécurité.
Une campagne hautement ciblée et inédite
Le déploiement du ransomware a exploité une faille dans un prestataire informatique unique, MSP, gérant les systèmes d’une vingtaine d’entreprises du secteur financier. Qilin a ainsi pu infiltrer simultanément plusieurs réseaux, sans recourir à des attaques individualisées. Trois vagues de fuites ont été publiées sur leur site dans le dark web, accompagnées de messages revendicatifs.
« Nous avons accès à une masse gigantesque de données », annonçait une publication du 14 septembre. Ces communiqués, illustrés de documents confidentiels et photos compromettantes, ciblaient non seulement les entreprises touchées mais aussi la réglementation sud-coréenne et les autorités locales.
L’ombre nord-coréenne et la métamorphose de Qilin
Traditionnellement motivé par le gain financier, Qilin a introduit une rhétorique politique dans ses notes de rançon. Il parle alors de « révélations de corruption » et appele les journalistes et forces de l’ordre à enquêter. Cette posture d’auto-proclamé « activiste » constitue une première. Mieux encore, l’implication probable du groupe Moonstone Sleet, affilié à la Corée du Nord, marque une fusion inédite entre cybercriminalité et stratégie d’État. Qilin brouille ainsi les lignes : à mi-chemin entre startup criminelle et vecteur d’ingérence politique.
Une leçon de cybersécurité et d’anticipation
Ce cas emblématique souligne les failles systémiques dûes aux dépendances technologiques. Avec un prestataire tiers compromis, les attaquants ont exploité un vecteur souvent sous-estimé : la chaîne d’approvisionnement IT. Bitdefender appelle à renforcer la défense en profondeur : MFA obligatoire, cloisonnement réseau, EDR et XDR couplés à des équipes SecOps, mais aussi adoption de technologies dynamiques de réduction de surface d’attaque. Car face à des campagnes aussi hybrides et sophistiquées, il ne suffit plus de réagir. Il faut anticiper, et rendre l’environnement hostile aux assaillants.
Article basé sur un communiqué de presse reçu par la rédaction.
