Qilin, il ransomware che sta riscrivendo le regole del cybercrimine
Qilin, una delle operazioni ransomware più aggressive del 2025, colpisce la Corea del Sud con un attacco supply-chain e oltre 2 terabyte di dati rubati. E' solo l'inizio: gli analisti temono nuovi attacchi devastanti.
Negli ultimi mesi Qilin è diventato un nome familiare per chi si occupa di cybersicurezza. Se fino al 2023 il gruppo circolava in modo quasi sotterraneo con il nome Agenda, oggi gestisce una vasta rete strutturata di affiliati, un’infrastruttura criminale con capacità industriale e una frequenza di attacchi che sta mettendo sotto pressione aziende, governi e ospedali su scala globale. E gli analisti lanciano l’allarme: il 2025 ha segnato per Qilin il salto da semplice team ransomware a soggetto con una potenza d’accatto tale da avere ripercussioni sul piano geopolitico.
Una strategia criminale evoluta
L’approccio operativo di Qilin mostra un ecosistema criminale maturo. Gli accessi iniziali vengono spesso ottenuti tramite campagne mirate di phishing, credenziali rubate o vulnerabilità zero-day scambiate nel dark web. Una volta dentro le reti delle vittime, gli attaccanti procedono con movimenti lenti e silenziosi, escalation dei privilegi, eliminazione di backup e log, fino alla crittografia finale dei sistemi.
La doppia estorsione è ormai la norma: prima del blocco operativo, grandi quantità di documenti vengono sottratte e archiviate su server isolati, pronti a essere pubblicati online, nel cosiddetto darkweb, se la vittima rifiuta il pagamento. In alcuni casi, secondo ricercatori di laboratorio specializzati, Qilin avrebbe iniziato a sperimentare anche la tripla estorsione, colpendo partner e clienti delle organizzazioni compromesse per massimizzare il danno.
Gli strumenti tecnici a disposizione del gruppo includono malware multilinguaggio pensati per evitare di essere identificati dai principali sistemi di sicurezza, infrastrutture di exfiltrazione ridondate e un modello RaaS, ransomware-as-a-service, che permette agli affiliati di operare come una sorta di franchising criminale, semplificando attacchi su larga scala. Quest’ultimo modello sta praticamente diventano la norma nel mondo del crimine informatico.
Un attacco devastante in Corea del Sud
Il caso più eclatante degli ultimi giorni, ribattezzato Korean Leaks, dimostra la capacità crescente e l’ambizione di Qilin. L’attacco ha sfruttato una supply-chain compromettendo il provider di servizi GJTec, aprendo un varco nei sistemi di 28 istituti finanziari sudcoreani. Oltre due terabyte di dati sono stati esfiltrati, con più di un milione di file sensibili sottratti.
Analisti di threat intelligence ipotizzano collegamenti tra Qilin e attori statali nordcoreani, in particolare il gruppo Moonstone Sleet. Se confermato, questo porrebbe Qilin nella zona grigia tra cybercrime e operazioni strategiche, con finalità che vanno oltre il profitto per toccare aspetti di destabilizzazione regionale. I messaggi diffusi dal gruppo nelle ore successive all’attacco evocano infatti conseguenze “sistemiche” in caso di mancato pagamento. Il timore degli esperti è che siamo solo agli inizi: l’attività criminale del gruppo potrebbe presto diventare ancora più prolifica e devastante.
