Microsoft cho biết một nhóm tin tặc Triều Tiên, được theo dõi với tên Moonstone Sleet, đã triển khai các payload ransomware Qilin trong một số cuộc tấn công hạn chế gần đây.
“Kể từ cuối tháng 2 năm 2025, Microsoft đã quan sát thấy Moonstone Sleet, một tác nhân nhà nước Triều Tiên, triển khai ransomware Qilin tại một số tổ chức giới hạn,” các chuyên gia tình báo mối đe dọa của công ty cho biết trong tuần này.
“Moonstone Sleet trước đây chỉ sử dụng ransomware tùy chỉnh riêng trong các cuộc tấn công của họ, và đây là lần đầu tiên họ triển khai ransomware được phát triển bởi một nhà vận hành RaaS.”
Trước đây được theo dõi với tên Storm-1789, hoạt động của nhóm mối đe dọa này ban đầu có sự trùng lặp với các nhóm tấn công Triều Tiên khác như Diamond Sleet và Onyx Sleet. Tuy nhiên, nhóm đã chuyển sang sử dụng các chiến thuật, công cụ tùy chỉnh và cơ sở hạ tầng tấn công riêng.
Microsoft cho biết tin tặc Moonstone Sleet nhắm đến cả mục tiêu tài chính và gián điệp mạng, sử dụng phần mềm bị trojan hóa (ví dụ: PuTTY), bộ tải phần mềm độc hại tùy chỉnh, trò chơi độc hại, gói npm, và các công ty phát triển phần mềm giả mạo (ví dụ: C.C. Waterfall, StarGlow Ventures) được thiết lập để tương tác với các nạn nhân tiềm năng trên LinkedIn, các mạng tự do, Telegram hoặc qua email.
Kể từ khi xuất hiện vào tháng 8 năm 2022 với tên “Agenda”, băng nhóm ransomware Qilin đã tuyên bố có hơn 300 nạn nhân trên trang rò rỉ dark web của mình. Tuy nhiên, hoạt động Ransomware-as-a-Service (RaaS) này hầu như không đáng kể cho đến khi các cuộc tấn công đạt đỉnh vào cuối năm 2023. Vào tháng 12 năm 2023, các chi nhánh của Qilin bắt đầu triển khai một trong những bộ mã hóa Linux tiên tiến nhất để nhắm vào các máy ảo VMware ESXi.
Cho đến nay, BleepingComputer ghi nhận các yêu cầu tiền chuộc của Qilin dao động từ 25.000 USD đến hàng triệu USD, tùy thuộc vào quy mô của nạn nhân. Qilin đã tuyên bố có hơn 310 nạn nhân kể từ khi xuất hiện, bao gồm tập đoàn ô tô Yanfeng, nhà xuất bản báo chí Mỹ Lee Enterprises, Dịch vụ Tòa án Victoria của Úc, và nhà cung cấp dịch vụ bệnh lý Synnovis.
Vụ tấn công vào Synnovis đã gây ra sự cố ngừng hoạt động, ảnh hưởng đến một số bệnh viện lớn thuộc NHS ở London, buộc họ phải hủy hàng trăm ca phẫu thuật và lịch hẹn.
Vào tháng 5 năm 2024, Microsoft cũng liên kết Moonstone Sleet với một biến thể ransomware tùy chỉnh FakePenny. Sau một cuộc tấn công ransomware FakePenny thành công, các tin tặc Triều Tiên được ghi nhận đã yêu cầu số tiền chuộc 6,6 triệu USD bằng BTC.
Moonstone Sleet không phải là nhóm mối đe dọa được Triều Tiên hậu thuẫn đầu tiên liên quan đến các cuộc tấn công ransomware trong những năm gần đây. Vào tháng 5 năm 2017, chính phủ Mỹ và Anh đã quy trách nhiệm cho Nhóm Lazarus về vụ bùng phát ransomware WannaCry, làm sụp đổ hàng trăm nghìn máy tính trên toàn cầu.
Nhiều năm sau, vào tháng 7 năm 2022, Microsoft và FBI liên kết các tin tặc Triều Tiên với hoạt động ransomware Holy Ghost và các cuộc tấn công ransomware Maui nhắm vào các tổ chức y tế.
