شهدت كوريا الجنوبية مؤخراً موجة هجمات سيبرانية معقدة تستهدف القطاع المالي، قادها برنامج الفدية Qilin كخدمة (RaaS)، وشملت تسريب أكثر من مليون ملف وحوالي 2 تيرابايت من البيانات. هذه الهجمات، التي عرفت بحملة “التسريبات الكورية” (Korean Leaks)، سلطت الضوء على تزايد التهديدات المتقدمة التي تجمع بين الجريمة المنظمة والدعم المحتمل من جهات حكومية.
بدأت الهجمات في سبتمبر 2025، عندما أصبحت كوريا الجنوبية ثاني أكثر الدول استهدافاً بهجمات الفدية عالمياً، مسجلة 25 ضحية في شهر واحد، معظمهم من شركات إدارة الأصول. يعتقد أن هذه الهجمات استخدمت مزيجاً من قدرات مجموعة Qilin، بالإضافة إلى تورط محتمل لمجموعة Moonstone Sleet المرتبطة بكوريا الشمالية.
هجمات Qilin في كوريا الجنوبية: نطاق واسع وتسريب بيانات ضخم
كشفت التحليلات الأمنية التي أجرتها شركة Bitdefender عن أن مجموعة Qilin تعمل بنموذج “اقتصاد العمل الحر”، حيث يوفر المشغلون الرئيسيون العلامة التجارية والبرمجيات والبنية التحتية، ويتقاسمون نسبة 15% إلى 20% من الأرباح. بينما يقوم منتسبون بتنفيذ الهجمات السيبرانية الفعلية، ويحصلون على الجزء الأكبر من العائدات.
ما يزيد من خطورة هذه الحملة هو الشراكة التي ظهرت أوائل عام 2025 بين Qilin ومجموعة Moonstone Sleet، وهي مجموعة اختراق لها صلات مباشرة بكوريا الشمالية. هذا التعاون يطمس الخطوط الفاصلة بين الجرائم السيبرانية الرامية للربح والتجسس المدعوم من الدول.
نفذ المهاجمون حملتهم على ثلاث موجات رئيسية. الموجة الأولى، بتاريخ 14 سبتمبر 2025، استهدفت 10 ضحايا. وتم تقديم هذه الهجمات كجهد لخدمة المجتمع لكشف الفساد الممنهج. تبعتها الموجة الثانية التي شملت تهديدات لسوق الأسهم الكوري بأكمله، واختتمت الموجة الثالثة بتسعة ضحايا إضافيين قبل العودة إلى أساليب الابتزاز التقليدية.
ضرر وصل إلى 2 تيرابايت من البيانات
من بين 33 ضحية تم تحديدهم، تم الإعلان عن 28 منهم بشكل رسمي. وقد تأكدت حالات سرقة أكثر من مليون ملف، ليصل إجمالي حجم البيانات المسربة إلى حوالي 2 تيرابايت. هذا الحجم الكبير من البيانات المسربة يثير مخاوف جدية بشأن الخصوصية والأمن المالي للضحايا.
اختراق مزود الخدمة المُدارة (MSP) كمتجه هجومي
كشف تحليل السبب الجذري للهجمات أن التركيز الشديد للضحايا ضمن قطاع مالي واحد يشير إلى وجود ثغرة مشتركة تربط جميع الأهداف. وأكدت التقارير الصحفية في 23 سبتمبر 2025 أن أكثر من 20 شركة لإدارة الأصول تعرضت لخرق أمني بعد اختراق خوادمها عبر مزود خدمة تكنولوجيا معلومات محلي مشترك.
مكن هذا الاختراق لمزود الخدمة المُدارة المهاجمين من الوصول المتزامن إلى شبكات عملاء متعددين. وهذا يفسر السرعة والدقة التي تم بها تنفيذ موجات الهجوم، ويبرز خطورة الاعتماد على جهة خارجية واحدة لإدارة البنية التحتية التقنية.
تقدم الجهات الأمنية توصيات لمواجهة هذه التهديدات، تشمل تطبيق المصادقة متعددة العوامل، تقسيم الشبكات، واعتماد حلول اكتشاف ومكافحة التهديدات المتقدمة (EDR/XDR/MDR) لتقليل زمن بقاء المهاجمين في الشبكات المستهدفة.
تابعونا على أخبار Google، LinkedIn، و X للحصول على آخر التحديثات الفورية، وجعل CSN مصدراً مفضلاً لديك في Google.