Güney Kore’yi Hedefleyen Qilin Fidye Yazılımı Saldırısı
Güney Kore’nin finans sektörüne yönelik gerçekleştirilen son derece sofistike bir tedarik zinciri saldırısıyla Qilin fidye yazılımı devreye girdi. Bu operasyon, Qilin isimli büyük bir Fidye Yazılımı Hizmeti (RaaS) grubunun yetenekleri ile Kuzey Kore devletine bağlı aktörlerin (Moonstone Sleet) potansiyel katılımını birleştiriyor. Saldırganlar, başlangıç erişim vektörü olarak Yönetilen Hizmet Sağlayıcı (MSP) güvenlik açığından yararlandılar.
Qilin’in Etkisi ve Büyümesi
Qilin, 2025 yılı boyunca en aktif fidye yazılımı operasyonlarından biri haline geldi. Ekim 2025’te, 180’den fazla kurban ve toplam ransomware saldırılarının %29’u bu grup tarafından gerçekleştirildi. Bir siber güvenlik firması olan Bitdefender, Eylül 2025’te Güney Kore’de olağan dışı bir fidye yazılımı kurbanı artışı tespit etti. Ülke, o dönemde en fazla kurban veren ülkeler arasında ABD’den sonra ikinci sırada yer aldı.
‘Korean Leaks’ Operasyonu
Qilin grubunun kurbanları arasında özellikle finans sektöründen çok sayıda şirket bulunuyor. Diğer 24 kurbanla birlikte toplamda 25 vaka, sadece bu gruba atfedildi. Saldırganlar, bu kampanyaya “Korean Leaks” adını verdiler. Üç aşamada gerçekleştirilen bu operasyon sonucunda, 28 kurbanın 1 milyondan fazla dosyası ve 2 TB veri çalındı.
Saldırıların Dalgaları
Korean Leaks operasyonu üç farklı dalga halinde gerçekleştirildi:
- Dalga 1: 14 Eylül 2025’te finans yönetim sektörden 10 kurban yayımlandı.
- Dalga 2: 17-19 Eylül 2025 tarihleri arasında 9 kurban yayımlandı.
- Dalga 3: 28 Eylül – 4 Ekim 2025 arasında 9 kurban yayımlandı.
Bu süreçte, saldırganların, tehdit ve propaganda dillerine yönelerek politik bir çerçeve yarattığı dikkat çekiyor. İlk dalgada, sistemik yolsuzlukları açığa çıkarmaya yönelik olarak “borsa manipülasyonu kanıtları” gibi belgelerin yayımlanması tehdidinde bulunuldu.
Mesajın Evrimi
Saldırının ilerleyen aşamalarında, veri sızıntısının Güney Kore finans piyasası için ciddi riskler taşıdığı iddia edildi. Saldırganlar, Güney Kore yetkililerini olaya müdahale etmeye çağırdılar. Üçüncü dalgada ise, mesajın içeriği Qilin’in geleneksel fidye talepleriyle daha birebir örtüşmeye başladı.
Risklerin Azaltılması
Bu saldırıların gerçekleşmesinin başlıca sebeplerinden biri, bir tek MSP üzerinden birçok kurbana ulaşılmasıdır. Güney Kore’deki bir haber kaynağına göre, 23 Eylül 2025’te bir MSP’nin ihlali sonucu 20’den fazla varlık yönetim şirketi ransomware’a maruz kaldı.
Kuruluşların risklerini azaltmak için, Çok Faktörlü Kimlik Doğrulama (MFA) uygulaması, Erişim İlkesi’nin en az ayrıcalık prensibinin uygulanması ve kritik sistemlerin segmente edilmesi gereklidir. Böylece saldırı yüzeyleri büyük oranda azaltılabilir.
Bitdefender, “Korean Leaks” operasyonunun, siber güvenlik tartışmalarında göz ardı edilen bir alanı ortaya koyduğunu belirtiyor. Tedarikçileri ya da MSP’leri hedef almanın daha yaygın ve pratik bir yol olduğunu ifade ediyor.
Sonuç olarak, Güney Kore’deki bu olay, fidye yazılımlarının ve MSP ihlallerinin ne denli riskli olduğunu gözler önüne seriyor. Organizasyonlar, bu tür saldırıları önlemek adına güvenlik önlemlerini artırmalı ve siber güvenlik stratejilerine baştan sona yenilikler eklemelidir.
