Güney Kore’nin finans sektörü, Qilin fidye yazılımının yayılmasına yol açan, karmaşık bir tedarik zinciri saldırısı olarak tanımlanan saldırının hedefi oldu.
Bitdefender, The Hacker News ile paylaştığı bir raporda şunları söyledi: “Bu operasyon, büyük bir Hizmet Olarak Fidye Yazılımı (RaaS) grubu olan Qilin’in yeteneklerini, Kuzey Kore devletine bağlı aktörlerin (Moonstone Sleet) potansiyel katılımıyla birleştirdi ve ilk erişim vektörü olarak Yönetilen Hizmet Sağlayıcı (MSP) uzlaşmasından yararlandı.” dedi.
Qilin, bu yılın en aktif fidye yazılımı operasyonlarından biri olarak ortaya çıktı; RaaS ekibi Ekim 2025’te 180’den fazla kurban tespit ederek “patlayıcı bir büyüme” sergiledi. NCC Group verilerine göre grup, tüm fidye yazılımı saldırılarının %29’undan sorumludur.
Rumen siber güvenlik şirketi, Eylül 2025’te Güney Kore’den gelen fidye yazılımı kurbanlarında olağandışı bir artış tespit ettikten sonra daha derine inmeye karar verdiğini söyledi. Güney Kore, 25 vakayla ABD’den sonra fidye yazılımından en çok etkilenen ikinci ülke haline geldi; bu, Eylül 2024 ile Ağustos 2025 arasında ayda ortalama yaklaşık 2 kurbandan önemli bir sıçramaydı.
Daha ileri analizler, 25 vakanın tamamının yalnızca Qilin fidye yazılımı grubuna atfedildiğini ve kurbanların 24’ünün finans sektöründe olduğunu ortaya çıkardı. Kampanyaya bu isim verildi Kore Sızıntıları saldırganların kendileri tarafından.
Qilin’in kökeni büyük olasılıkla Rus olsa da grup kendisini “siyasi aktivistler” ve “ülkenin yurtseverleri” olarak tanımlıyor. Yasadışı ödemelerin %20’sine kadar küçük bir pay alma karşılığında, saldırıları gerçekleştirmek üzere çeşitli bilgisayar korsanlarından oluşan bir grubun işe alınmasını içeren geleneksel bir ortaklık modelini takip ediyor.
Dikkate değer bir bağlı kuruluş, Microsoft’a göre Nisan 2024’te isimsiz bir savunma teknolojisi şirketini hedef alan bir saldırıda FakePenny adlı özel bir fidye yazılımı türevi kullanan Moonstone Sleet olarak takip edilen Kuzey Koreli bir tehdit aktörüdür.
Daha sonra, bu Şubat ayının başlarında, saldırganın sınırlı sayıda kuruluşa Qilin fidye yazılımı dağıttığı gözlemlendiğinde önemli bir dönüm noktası yaşandı. Son saldırıların gerçekten de hacker grubu tarafından gerçekleştirilip gerçekleştirilmediği tam olarak belli olmasa da, Güney Koreli işletmelerin hedeflenmesi, grubun stratejik hedefleriyle örtüşüyor.
Korean Leaks üç yayın dalgasında gerçekleşti ve 28 kurbandan 1 milyondan fazla dosya ve 2 TB verinin çalınmasıyla sonuçlandı. Bitdefender, diğer dört kuruluşla ilişkili kurban gönderilerinin veri sızıntısı sitesinden (DLS) kaldırıldığını, bunun da fidye müzakereleri veya benzersiz bir iç politika sonrasında kaldırılmış olabileceğini öne sürdüğünü söyledi.
Üç dalga aşağıdaki gibidir:
- 1. Dalga14 Eylül 2025’te yayınlanan, finansal yönetim sektöründen 10 mağdurdan oluşan
- 2. Dalga17-19 Eylül 2025 tarihleri arasında yayınlanan dokuz kurbandan oluşan
- 3. Dalga28 Eylül ile 4 Ekim 2025 tarihleri arasında yayınlanan dokuz kurbandan oluşan
Bu sızıntıların olağandışı bir yönü, tehlikeye atılmış örgütler üzerinde baskı uygulama şeklindeki yerleşik taktiklerden ayrılıp bunun yerine ağırlıklı olarak propagandaya ve siyasi dile yaslanmasıdır.
Bitdefender, kampanyanın ilk dalgası hakkında şunları söyledi: “Kampanyanın tamamı, ‘borsa manipülasyonunun kanıtı’ olabilecek dosyaların ve ‘Kore’deki tanınmış politikacıların ve iş adamlarının’ isimlerinin yayınlanması tehditleriyle örneklenen, sistemik yolsuzluğu ortaya çıkarmaya yönelik bir kamu hizmeti çabası olarak çerçevelendi.”
Sonraki dalgalar, veri sızıntısının Kore finans piyasası için ciddi bir risk oluşturabileceğini iddia ederek tehdidi bir adım daha tırmandırmaya devam etti. Aktörler ayrıca sıkı veri koruma yasalarını öne sürerek Güney Koreli yetkilileri davayı araştırmaya çağırdı.
Grubun başlangıçta çalınan bilgilerin açığa çıkmasından kaynaklanan ulusal mali kriz temasını sürdürdüğü, ancak daha sonra “Qilin’in tipik, mali motivasyonlu gasp mesajlarına daha çok benzeyen” bir dile geçtiği üçüncü dalgada mesajlaşmada daha fazla değişiklik gözlemlendi.
Qilin’in, bağlı kuruluşlara blog yazıları için metin yazma konusunda ve müzakereler sırasında baskı uygulama konusunda yardımcı olacak “şirket içi gazetecilerden oluşan bir ekip” ile övündüğü göz önüne alındığında, DLS metninin yayınlanmasının arkasında grubun çekirdek üyelerinin olduğu değerlendiriliyor.
Bitdefender, “Mesajlar, temel operatörün imzası niteliğindeki gramer tutarsızlıklarından birkaçını içeriyor” dedi. “Ancak, son taslak üzerindeki bu kontrol, bağlı kuruluşun ana mesaj verme veya içeriğin genel yönü konusunda kritik bir söz hakkına sahip olmadığı anlamına gelmiyor.”
Bu saldırıları gerçekleştirmek için Qilin bağlı kuruluşunun tek bir yukarı yönlü yönetilen hizmet sağlayıcısını (MSP) ihlal ettiği ve bu erişimden yararlanarak aynı anda birden fazla kurbanın güvenliğini ihlal ettiği söyleniyor. 23 Eylül 2025’te Korea JoongAng Daily, GJTec’in ele geçirilmesinin ardından ülkedeki 20’den fazla varlık yönetimi şirketine fidye yazılımı bulaştığını bildirdi.
Bu riskleri azaltmak için kuruluşların Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılması, erişimi kısıtlamak için En Az Ayrıcalık İlkesini (PoLP) uygulaması, kritik sistemleri ve hassas verileri bölümlere ayırması ve saldırı yüzeylerini azaltmak için proaktif adımlar atması önemlidir.
Bitdefender, “‘Kore Sızıntıları’ operasyonunu tetikleyen MSP uzlaşması, siber güvenlik tartışmalarında kritik bir kör noktaya dikkat çekiyor” dedi. “Diğer işletmelere erişimi olan bir satıcıyı, yükleniciyi veya MSP’yi istismar etmek, kümelenmiş kurbanları arayan RaaS gruplarının izleyebileceği daha yaygın ve pratik bir yoldur.”