moonstone-sleet-qilin-campaign

# Korean Leaks - Moonstone Sleet + Qilin > [!critical] Primeira parceria documentada entre APT norte-coreano e grupo RaaS - Moonstone Sleet como afiliado Qilin comprometeu 28 firmas financeiras sul-coreanas e exfiltrou 2TB > A campanha "Korean Leaks" de setembro a dezembro de 2025 representa um marco histórico: a primeira vez que um APT de estado foi documentado operando como afiliado de Ransomware-as-a-Service. O Moonstone Sleet (Coreia do Norte) violou um provedor de serviços gerenciados (MSP) sul-coreano, usou o acesso para comprometer 28 instituições financeiras clientes, exfiltrou 2TB de dados e implantou o ransomware Qilin - combinando espionagem e geração de receita em um único ataque. ## Visão Geral A campanha Korean Leaks estabeleceu um novo paradigma na convergência entre espionagem de estado e cibercrime financeiro. O [[g1036-moonstone-sleet|Moonstone Sleet]] - grupo norte-coreano com histórico de ataques a exchanges de criptomoedas e desenvolvedores de software - operou como afiliado do grupo [[qilin-ransomware-group|Qilin]] nesta campanha, recebendo parcela dos resgates enquanto mantinha acesso a dados de inteligência estratégica. O vetor de entrada foi um ataque à cadeia de suprimentos via MSP: um provedor de serviços gerenciados que prestava serviços de TI para múltiplas instituições financeiras sul-coreanas foi comprometido primeiro. Com acesso ao MSP, o Moonstone Sleet obteve credenciais de administrador para os sistemas de todos os 28 clientes - uma pivot extremamente eficiente que transformou um único comprometimento em acesso massivo. Durante semanas de presença silenciosa, o grupo mapeou todas as 28 organizações, identificou sistemas de alto valor e exfiltrou aproximadamente 2TB de dados incluindo: relatórios financeiros internos, estratégias de investimento, informações de clientes de alto patrimônio e comúnicações de executivos. Esta fase de exfiltração serve tanto ao objetivo financeiro (material para dupla extorsão) quanto ao objetivo de inteligência norte-coreano (dados econômicos estratégicos do maior competidor regional da Coreia do Norte). A ativação do [[qilin-ransomware|Qilin]] ocorreu coordenadamente em múltiplas organizações simultaneamente - maximizando o impacto e a pressão para pagamento. A demanda total de resgate agregada das 28 organizações nunca foi divulgada, mas analistas estimam valores na casa de dezenas de milhões de dólares. ## Attack Flow ```mermaid graph TB A["Compromisso do MSP Acesso a provedor de serviços gerenciados sul-coreano"] --> B["Pivotamento Credenciais de admin para 28 clientes financeiros do MSP"] B --> C["Reconhecimento Extenso Semanas mapeando sistemas de todas as 28 organizações"] C --> D["Exfiltração 2TB de dados financeiros e de clientes transferidos"] D --> E["Qilin Implantado Ransomware ativado simultaneamente nas 28 firmas"] E --> F["Dupla Extorsão Pagamento exigido para descriptografar e não publicar"] ``` > **Atores:** Moonstone Sleet (APT DPRK) + Qilin (RaaS) | **Vítimas:** 28 firmas financeiras sul-coreanas | **Dados:** 2TB exfiltrado ## Cronologia ```mermaid timeline title Korean Leaks - Moonstone Sleet + Qilin 2025-09 : Moonstone Sleet compromete MSP sul-coreano 2025-09 : Pivot para 28 clientes financeiros do MSP 2025-10 : Fase silenciosa de reconhecimento e exfiltração 2025-11 : 2TB de dados financeiros exfiltrados ao longo de semanas 2025-12 : Qilin ransomware ativado nas 28 organizações simultaneamente 2025-12 : Site de vazamento Korean Leaks publicado com amostra dos dados 2026-01 : Microsoft e Mandiant atribuem campanha ao Moonstone Sleet como afiliado Qilin 2026-02 : Investigação do Financial Intelligence Unit da Coreia do Sul em andamento ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Trusted Relationship | [[t1199-trusted-relationship\|T1199]] | Acesso via MSP comprometido - confiança transitiva para clientes | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais de administrador do MSP para acessar sistemas dos clientes | | Transfer Data to Cloud Account | [[t1537-transfer-data-to-cloud-account\|T1537]] | 2TB exfiltrados para infraestrutura cloud controlada pelo ator | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Qilin ransomware implantado simultaneamente em 28 organizações | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração inicial do MSP via vulnerabilidade em plataforma de gestão remota | | Disable or Modify Tools | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação de EDR nas organizações-alvo antes de implantar Qilin | ## Vítimas e Impacto **Escala:** - 28 instituições financeiras sul-coreanas comprometidas simultaneamente - 2TB de dados financeiros sensíveis exfiltrados - Inclui bancos regionais, empresas de investimento e corretoras **Dados comprometidos:** - Estratégias de investimento e portfólios de clientes de alto patrimônio - Relatórios financeiros internos e projeções estratégicas - Comúnicações de executivos sobre fusões, aquisições e decisões de negócio - Dados pessoais de clientes em volume significativo **Precedente estratégico:** - Primeira documentação pública de APT estado-nação como afiliado RaaS - Modelo combina geração de receita (resgate Qilin) com espionagem econômica (dados estratégicos) - Demonstra que APTs estão diversificando fontes de financiamento via RaaS ## Relevância LATAM e Brasil O modelo Korean Leaks tem implicações diretas para o setor financeiro brasileiro: - **MSPs como vetor**: o Brasil possui milhares de MSPs que gerenciam TI de instituições financeiras de médio e pequeno porte - a concentração de acesso em provedores de serviços cria superfícies de ataque idênticas à explorada no ataque sul-coreano - **[[g1036-moonstone-sleet|Moonstone Sleet]] e criptoativos**: a Coreia do Norte tem interesse estratégico em dados financeiros e criptoativos em todo o mundo - exchanges e custodiantes brasileiros de criptomoedas estão no perfil de interesse histórico do grupo - **Regulação de terceiros**: o BACEN exige que instituições financeiras gerenciem riscos de terceiros (Resolução BCB 265/2023) - MSPs sem controles adequados representam risco regulatório além do operacional - **Modelo replicável**: outros grupos de ransomware ativos no Brasil podem adotar o modelo de pivot via MSP, amplificando o impacto de cada comprometimento inicial ## Mitigação **Controles para organizações que usam MSPs:** - Exigir que MSPs mantenham segregação de credenciais entre clientes - sem credenciais genéricas de admin compartilhadas - Auditar acesso de MSPs mensalmente - revogar imediatamente acessos não mais necessários - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA para todos os acessos de terceiros, mesmo de MSPs confiáveis **Controles estratégicos:** - Aplicar [[m1018-user-account-management|M1018]] - princípio de menor privilégio para acessos de MSP - Implementar [[m1030-network-segmentation|M1030]] - segmentação que impeça pivot de um cliente MSP a outro - Monitorar via [[ds-0028-logon-session|DS-0028]] - acessos administrativos de IPs de MSPs fora de horários normais ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor/) Microsoft Security - Moonstone Sleet Emerges as New North Korean Threat Actor (2024) - [2](https://www.mandiant.com/resources/blog/moonstone-sleet-qilin-affiliate) Mandiant - Moonstone Sleet Operating as Qilin Ransomware Affiliate (2026) - [3](https://therecord.media/korean-leaks-north-korean-apt-financial-sector) The Record - Korean Leaks: North Korean APT Targets Financial Sector (2025) - [4](https://unit42.paloaltonetworks.com/qilin-ransomware-analysis/) Unit 42 - Qilin Ransomware: Technical Analysis (2024) - [5](https://www.bleepingcomputer.com/news/security/north-korean-hackers-deploy-qilin-ransomware-in-new-attacks/) BleepingComputer - North Korean Hackers Deploy Qilin Ransomware (2025)