شهد القطاع المالي في كوريا الجنوبية هجوماً سيبرانياً معقداً استهدف سلسلة التوريد، ما أدى إلى نشر برمجية الفدية Qilin، بحسب ما كشفت تقارير حديثة. يأتي هذا الحادث وسط تصاعد القلق بشأن تزايد الهجمات الموجهة ضد المؤسسات المالية، مما يسلط الضوء على الحاجة الماسة لتعزيز الإجراءات الأمنية.
وبحسب تقرير صادر عن شركة Bitdefender للأمن السيبراني، فإن العملية ربطت بين مجموعة Qilin، المعروفة بأنشطتها في مجال برمجيات الفدية كخدمة (RaaS)، وعناصر قد تكون مرتبطة بكوريا الشمالية، مستغلة اختراق مزودي الخدمات المدارة (MSPs) كنقطة دخول أولية. وقد أطلق المهاجمون على حملتهم اسم “Korean Leaks”.
حملة “Korean Leaks” وهجوم Qilin
برزت مجموعة Qilin كواحدة من أكثر جهات برمجيات الفدية نشاطاً هذا العام، وشهدت نمواً ملحوظاً في شهر أكتوبر 2025، معلنة عن اختراق أكثر من 180 ضحية. وتشير بيانات من NCC Group إلى أن المجموعة مسؤولة عن 29% من إجمالي هجمات برمجيات الفدية.
من جهتها، أشارت Bitdefender إلى أنها قررت التعمق في هذه الظاهرة بعد رصد زيادة غير عادية في ضحايا برمجيات الفدية من كوريا الجنوبية في سبتمبر 2025. في هذا الشهر، أصبحت كوريا الجنوبية ثاني أكثر الدول تأثراً ببرمجيات الفدية بعد الولايات المتحدة، مسجلة 25 حالة، وهو ارتفاع كبير مقارنة بمتوسط حالتين شهرياً تقريباً بين سبتمبر 2024 وأغسطس 2025.
أظهر التحليل الأعمق أن جميع الحالات الـ 25 نُسبت حصرياً إلى مجموعة Qilin لبرمجيات الفدية، حيث كان 24 من الضحايا ينتمون إلى القطاع المالي. وقد أطلق المهاجمون أنفسهم على هذه الحملة الاستخباراتية اسم “Korean Leaks”.
نماذج عمل Qilin وارتباطات محتملة
على الرغم من أن أصول Qilin قد تكون روسية، إلا أن المجموعة تصف نفسها بأنها “ناشطون سياسيون” و”وطنيون”. تعتمد المجموعة نموذجاً تقليدياً يعتمد على الشركاء، حيث تقوم بتجنيد مجموعة متنوعة من القراصنة لتنفيذ الهجمات مقابل الحصول على نسبة صغيرة تصل إلى 20% من المدفوعات غير المشروعة.
ويُذكر من بين الشركاء المحددين، جهة تهديد كورية شمالية تُعرف باسم Moonstone Sleet. ووفقاً لشركة Microsoft، قامت هذه الجهة بنشر نسخة مخصصة من برمجية الفدية تُسمى FakePenny في هجوم استهدف شركة تكنولوجيا دفاعية لم يُكشف عنها في أبريل 2024.
ثم، في فبراير الماضي، حدث تحول كبير حيث لوحظ أن هذا التهديد قام بتسليم برمجية الفدية Qilin لعدد محدود من المنظمات. وعلى الرغم من عدم وضوح ما إذا كانت الهجمات الأخيرة قد نُفذت بالفعل من قبل هذه المجموعة، إلا أن استهداف الشركات الكورية الجنوبية يتوافق مع أهدافها الاستراتيجية.
خلفيات وأساليب حملة “Korean Leaks”
جرت حملة “Korean Leaks” عبر ثلاث موجات نشر، مما أدى إلى سرقة أكثر من مليون ملف و2 تيرابايت من البيانات من 28 ضحية. وأشارت Bitdefender إلى أن منشورات الضحايا المرتبطة بأربعة كيانات أخرى أُزيلت من موقع تسريب البيانات (DLS)، مما يوحي بإمكانية سحبها إما بعد مفاوضات الفدية أو بناءً على سياسة داخلية فريدة.
تتضمن الموجات الثلاث ما يلي:
- الموجة الأولى: شملت 10 ضحايا من قطاع الإدارة المالية، ونُشرت في 14 سبتمبر 2025.
- الموجة الثانية: شملت تسعة ضحايا، ونُشرت بين 17 و19 سبتمبر 2025.
- الموجة الثالثة: شملت تسعة ضحايا، ونُشرت بين 28 سبتمبر و4 أكتوبر 2025.
ومن الجوانب غير العادية في هذه التسريبات هو الابتعاد عن تكتيكات الضغط التقليدية على المنظمات المخترقة، والاعتماد بشكل كبير على الدعاية واللغة السياسية. فالحملة بأكملها تم تأطيرها على أنها جهد خدمة عام لفضح الفساد المنهجي، مع تهديدات بنشر ملفات يمكن أن تكون “دليلاً على التلاعب بسوق الأسهم” وأسماء “سياسيين ورجال أعمال معروفين في كوريا”، وفقاً لما قالته Bitdefender عن الموجة الأولى.
تصاعدت الموجات اللاحقة في التهديد، مدعية أن تسريب البيانات يمكن أن يشكل خطراً جسيماً على السوق المالية الكورية. كما دعا المهاجمون السلطات الكورية الجنوبية إلى التحقيق في القضية، مستشهدين بقوانين حماية البيانات الصارمة.
شوهد تحول آخر في الرسائل خلال الموجة الثالثة، حيث استمرت المجموعة في البداية بنفس موضوع الأزمة المالية الوطنية الناجمة عن تسريب المعلومات المسروقة، ثم تحولت إلى لغة “تشبه إلى حد كبير رسائل الابتزاز ذات الدوافع المالية التقليدية لمجموعة Qilin”.
ونظراً لأن Qilin تتباهى بوجود “فريق داخلي من الصحفيين” لمساعدة الشركاء في كتابة نصوص المدونات والمساهمة في الضغط أثناء المفاوضات، فمن المتوقع أن يكون أعضاء المجموعة الأساسيون وراء نشر نصوص موقع DLS.
ووفقاً لـ Bitdefender، تحتوي المنشورات على العديد من التناقضات النحوية المميزة للمشغلين الأساسيين. ومع ذلك، فإن هذا التحكم في المسودة النهائية لا يعني إقصاء الشريك من إبداء رأي حاسم في الرسائل الرئيسية أو الاتجاه العام للمحتوى.
الأثر والحلول الأمنية
للتنفيذ الناجح لهذه الهجمات، يُقال إن شريك Qilin قد اخترق مزود خدمة مُدارة واحد (MSP)، مستغلاً الوصول لاختراق العديد من الضحايا في وقت واحد. وفي 23 سبتمبر 2025، أفادت صحيفة Korea JoongAng Daily بأن أكثر من 20 شركة لإدارة الأصول في البلاد تعرضت للإصابة ببرمجيات الفدية بعد اختراق GJTec.
وللتخفيف من هذه المخاطر، يصبح من الضروري أن تفرض المؤسسات المصادقة متعددة العوامل (MFA)، وتطبيق مبدأ الحد الأدنى من الامتيازات (PoLP) لتقييد الوصول، وتقسيم الأنظمة الحيوية والبيانات الحساسة، واتخاذ خطوات استباقية لتقليل سطح الهجوم.
وأكدت Bitdefender أن اختراق مزود الخدمة المدارة الذي أدى إلى عملية “Korean Leaks” يسلط الضوء على نقطة ضعف حرجة في مناقشات الأمن السيبراني. وأضافت أن استغلال بائع أو متعاقد أو مزود خدمة مُدارة يمتلك وصولاً إلى شركات أخرى هو مسار أكثر انتشاراً وعملية يمكن لجهات برمجيات الفدية الساعية وراء ضحايا مجمعين أن تسلكه.