La campagne de ransomware Qilin s'intensifie en Corée du Sud : des acteurs russes et coréens derrière la dévastation du secteur financier

Septembre 2024 a marqué un tournant critique lorsque les attaques de rançongiciels Qilin en Corée du Sud ont explosé à 25 incidents — une augmentation stupéfiante de 12 fois par rapport à la moyenne mensuelle habituelle de deux cas. Cette campagne coordonnée, orchestrée par des cybercriminels russes et des acteurs menaçants affiliés à la Corée, a compromis 24 institutions financières et a entraîné le vol de plus de 2 To de données hautement sensibles.

L’anatomie de la plus grande violation du secteur financier en Corée du Sud

Selon l’évaluation des menaces de Bitdefender d’octobre 2024, l’opération Qilin représente un modèle de menace hybride mêlant une infrastructure de ransomware en tant que service (RaaS) avec des objectifs d’espionnage parrainés par l’État. Les chercheurs en sécurité ont identifié 33 incidents au total en 2024, la majorité étant concentrée sur une période dévastatrice de trois semaines à partir du 14 septembre.

Le vecteur d’attaque était étonnamment simple mais d’une efficacité dévastatrice : les acteurs menaçants ont infiltré des fournisseurs de services gérés (MSPs) qui servent d’intermédiaires pour les infrastructures critiques des banques et entreprises financières sud-coréennes. En compromettant ces MSP, les attaquants ont obtenu un accès privilégié à des dizaines de clients en aval simultanément — une stratégie d’attaque de la chaîne d’approvisionnement qui s’est avérée presque impossible à détecter indépendamment pour les institutions financières individuelles.

L’analyse de Bitdefender a révélé que l’exfiltration de données s’est produite en trois vagues coordonnées. La première violation le 14 septembre 2024 a exposé des fichiers de 10 sociétés de gestion financière. Deux autres décharges entre le 17-19 septembre et du 28 septembre au 4 octobre ont ajouté 18 victimes supplémentaires, accumulant environ 1 million de fichiers contenant des estimations de renseignements militaires, des plans économiques et des dossiers confidentiels d’entreprises.

L’alliance de menace russo-coréenne et ses implications

Le groupe Qilin opère lui-même depuis le sol russe, avec des membres fondateurs actifs sur des forums cybercriminels russophones sous des pseudonymes comme “BianLian”. Cependant, la campagne en Corée du Sud porte des marques distinctes d’implication nord-coréenne, en particulier en lien avec le collectif d’acteurs de menace Moonstone Sleet, connu pour ses opérations cyber d’espionnage.

Cette alliance a transformé ce qui aurait pu être une simple extorsion financière en une opération de collecte de renseignements à objectifs multiples. Les attaquants ont justifié publiquement les fuites de données en affirmant à tort que les matériaux volés avaient une valeur “anti-corruption” — une tactique de propagande conçue pour masquer la collecte de renseignements au niveau de l’État. Dans un cas notable, des hackers ont même évoqué la préparation de rapports de renseignement pour des dirigeants étrangers basés sur des plans de ponts et d’installations de GNL volés.

La cible du centre financier sud-coréen n’est pas une coïncidence. Se classant comme le deuxième pays le plus affecté par les rançongiciels en 2024, l’infrastructure bancaire sophistiquée de la Corée du Sud en fait une cible attrayante tant pour les criminels commerciaux que pour les acteurs étatiques cherchant à obtenir des renseignements économiques.

Impact sur les marchés financiers et les écosystèmes crypto

Le vol de 2 To de données pose des risques en aval pour les échanges de cryptomonnaies et les plateformes fintech qui dépendent de l’infrastructure bancaire traditionnelle. Les dossiers financiers compromis, la documentation KYC et les données de transaction pourraient être exploités pour manipuler le marché, contourner la réglementation ou cibler frauduleusement les traders crypto et les investisseurs institutionnels.

L’intelligence des menaces de NCC Group confirme que Qilin représente désormais 29 % des incidents mondiaux de rançongiciels, avec plus de 180 victimes revendiquées en octobre 2024 seulement. La capacité avérée du groupe à monétiser les violations par des demandes d’extorsion moyennant des millions de dollars crée une pression continue sur les victimes pour qu’elles se conforment — souvent avant que les données ne soient divulguées publiquement.

Mesures de défense et posture de sécurité recommandée

Les institutions financières de la région doivent immédiatement mettre en œuvre plusieurs mesures de sécurité critiques :

Vérification et surveillance des MSP : Établir des protocoles rigoureux d’évaluation des fournisseurs et une surveillance continue des accès tiers. Les architectures Zero-trust, qui traitent tout le trafic réseau avec suspicion — quelle que soit la source — se sont révélées essentielles pour limiter la mobilité latérale.

Segmentation du réseau : Si les banques sud-coréennes avaient correctement isolé leurs systèmes critiques des réseaux accessibles via MSP, l’exfiltration de 2 To aurait été considérablement limitée. La segmentation crée une friction qui donne du temps pour la détection et la réponse aux incidents.

Accélération de la réponse aux incidents : Déployer des outils de détection et de réponse sur endpoint (EDR) avec des analyses comportementales. Le mécanisme de livraison de Qilin repose sur l’établissement de portes dérobées persistantes — des outils comme la suite de sécurité endpoint de Bitdefender peuvent identifier les processus anormaux avant que les fichiers ne soient cryptés.

Formation des employés : La compromission initiale du MSP résulte probablement de phishing ou de vol de crédentiels. Des simulations adverses régulières et une formation à la sensibilisation à la sécurité réduisent les facteurs de vulnérabilité humaine.

Implications stratégiques pour l’industrie crypto

La campagne Qilin-Corée du Sud démontre comment le ransomware a évolué au-delà de la simple extorsion pour devenir une menace hybride combinant efficacité de la cybercriminalité et objectifs d’espionnage d’État. L’implication d’acteurs coréens indique que les tensions géopolitiques se manifestent de plus en plus par des attaques d’infrastructures numériques ciblant les secteurs financiers.

Les plateformes de cryptomonnaies opérant en Corée du Sud ou y servant des clients font face à un risque accru, tant par des attaques directes de rançongiciels que par une compromission indirecte via des fournisseurs de services financiers. Le vol de 2 To de données pourrait inclure des dossiers clients, des modèles de transaction et des relations institutionnelles que des acteurs étrangers pourraient exploiter pour un ciblage sélectif.

La fenêtre pour agir en défense se ferme. Les organisations qui ne mettront pas en œuvre des mesures de sécurité de la chaîne d’approvisionnement et de segmentation réseau ce trimestre risquent de subir des violations similaires dans les mois à venir, alors que les acteurs menaçants continuent de cartographier l’infrastructure financière sud-coréenne.

Comme l’a conclu l’évaluation de Bitdefender d’octobre 2024 : “Cette opération souligne la convergence en évolution du cybercrime et des objectifs géopolitiques au sein des secteurs financiers critiques. La nature hybride des menaces exige des stratégies de défense tout aussi hybrides, combinant contrôles techniques, gestion des fournisseurs et intégration de renseignements sur les menaces.”