كشفت شركة Bitdefender للأمن السيبراني عن عملية اختراق معقدة استهدفت القطاع المالي في كوريا الجنوبية، عبر استغلال ثغرة في مزود خدمات مُدار (MSP)، مما أدى إلى نشر برمجية الفدية “Qilin”. الهجوم، الذي وصف بأنه من نوع “سلسلة التوريد”، جمع بين قدرات مجموعة “Qilin” المتخصصة في الفدية كخدمة (RaaS)، ومشاركة محتملة من جهات تهديد مرتبطة بكوريا الشمالية تُعرف باسم “Moonstone Sleet”.
شهد شهر أكتوبر 2025 نمواً “انفجارياً” في نشاط مجموعة Qilin، حيث أعلنت مسؤوليتها عن أكثر من 180 ضحية، ما يمثل نحو 29% من إجمالي هجمات الفدية عالمياً، وفقاً لبيانات مجموعة NCC.
حملة “Korean Leaks”: ثلاث موجات من التسريبات واتهامات بالفساد
أطلقت مجموعة Qilin على حملتها اسم “Korean Leaks”، ونفذتها على ثلاث موجات بين سبتمبر وأكتوبر 2025، مستهدفة 28 ضحية وسارقة أكثر من مليون ملف بحجم إجمالي بلغ 2 تيرابايت. الغالبية العظمى من الضحايا (24 من أصل 25 حالة مؤكدة) كانت من القطاع المالي، ما جعل كوريا الجنوبية ثاني أكثر الدول تضرراً من هجمات الفدية بعد الولايات المتحدة.
الموجات الثلاث جاءت على النحو التالي:
– الموجة الأولى: 10 ضحايا من قطاع إدارة الأموال، نُشرت بياناتهم في 14 سبتمبر 2025
– الموجة الثانية: 9 ضحايا نُشرت بياناتهم بين 17 و19 سبتمبر
– الموجة الثالثة: 9 ضحايا نُشرت بياناتهم بين 28 سبتمبر و4 أكتوبر
ما يميز هذه الحملة هو استخدامها لغة دعائية وسياسية بدلاً من الضغط التقليدي، حيث زعمت المجموعة أنها تسعى لكشف “فساد منهجي”، وهددت بنشر ملفات تتضمن “أدلة على التلاعب بسوق الأسهم” وأسماء “سياسيين ورجال أعمال بارزين في كوريا”.
تورط جهات كورية شمالية وتغيير في أسلوب الرسائل
تشير التقارير إلى أن جهة التهديد “Moonstone Sleet”، المرتبطة بكوريا الشمالية، قد تكون شاركت في الهجوم، خاصة بعد استخدامها سابقاً لبرمجية فدية مخصصة تُدعى “FakePenny” ضد شركة تكنولوجيا دفاعية في أبريل 2024. وفي فبراير 2025، لوحظ تحول في نشاطها نحو نشر برمجية “Qilin”، ما يعزز فرضية تورطها في الهجوم الأخير.
في الموجة الثالثة من التسريبات، تغيرت لهجة الرسائل من الطابع السياسي إلى أسلوب الابتزاز المالي المعتاد لمجموعة Qilin، مما يشير إلى تدخل مباشر من أعضاءها الأساسيين، الذين يُعتقد أنهم يمتلكون “فريقاً داخلياً من الصحفيين” لصياغة النصوص التفاوضية.
اختراق مزود الخدمات GJTec: نقطة الانطلاق للهجوم
أفادت صحيفة Korea JoongAng Daily في 23 سبتمبر 2025 أن أكثر من 20 شركة لإدارة الأصول تعرضت لهجوم فدية بعد اختراق مزود الخدمات GJTec، ما يؤكد أن نقطة الدخول كانت عبر سلسلة التوريد. هذا النوع من الهجمات يُعد ثغرة خطيرة في مناقشات الأمن السيبراني، حيث يستغل المهاجمون وصول مزود أو متعهد إلى شبكات متعددة لتحقيق اختراق جماعي.
توصيات للحد من المخاطر السيبرانية
يوصي الخبراء باتباع إجراءات صارمة لحماية الأنظمة، منها:
– تطبيق المصادقة متعددة العوامل (MFA)
– الالتزام بمبدأ أقل امتياز (PoLP) لتقييد الوصول
– تقسيم الأنظمة الحساسة
– تقليل سطح الهجوم عبر تحديثات مستمرة ومراقبة دقيقة
