南韓金融業近期遭遇大規模供應鏈攻擊,駭客組織透過入侵單一託管服務供應商(Managed Service Provider, MSP),一舉攻陷 28 家企業,其中 24 家為金融業者,竊取超過 2TB 資料。資安業者 Bitdefender 分析指出,此次攻擊結合了 Qilin 勒索軟體即服務(RaaS)集團的能力,並可能涉及北韓國家級駭客組織 Moonstone Sleet。這起事件凸顯 MSP 已成為駭客攻擊的關鍵破口,台灣企業應引以為鑑,強化供應鏈資安管理。
MSP 成攻擊跳板 金融業成重災區
根據 Bitdefender 報告,研究人員注意到 2025 年 9 月南韓勒索軟體受害案例異常攀升,單月達 25 起,使南韓成為僅次於美國的第二大受災國。相較於過去一年平均每月約 2 起的水準,這一數據顯示出明顯的攻擊集中現象。
進一步分析發現,這 25 起案例全數歸因於 Qilin 勒索軟體集團,其中 24 家受害者屬於金融產業。攻擊者將此次行動命名為「Korean Leaks」,分三波公布竊取的資料,共計超過 100 萬份檔案、2TB 資料量。
據南韓《中央日報》2025 年 9 月 23 日報導,攻擊源頭為 MSP 業者 GJTec 遭到入侵,駭客藉此取得下游客戶的存取權限,導致 20 多家資產管理公司同時感染勒索軟體。
Qilin 集團攻擊量暴增 疑與北韓駭客合作
Qilin 已成為 2025 年最活躍的勒索軟體組織之一。根據 NCC Group 統計,該集團在 2025 年 10 月宣稱的受害者超過 180 家,佔全球勒索軟體攻擊總量的 29%。Qilin 採用傳統的聯盟運作模式,招募駭客執行攻擊並抽取最高 20% 的贖金分潤。
值得關注的是,微軟曾追蹤到北韓國家級駭客組織 Moonstone Sleet 於 2024 年 4 月使用自製勒索軟體 FakePenny 攻擊一家國防科技公司。2025 年 2 月,該組織被觀察到開始部署 Qilin 勒索軟體。雖然目前無法確認此次南韓攻擊是否由 Moonstone Sleet 執行,但鎖定南韓企業的目標與其戰略方向一致。
攻擊手法融合政治宣傳與勒索威脅
此次攻擊的另一特殊之處在於其宣傳策略。駭客在第一波攻擊中將行動包裝為「揭露系統性貪腐的公益行動」,威脅公布可能涉及股市操縱的證據,以及南韓知名政商人士名單。
第二波攻擊升高威脅層級,聲稱資料外洩將對南韓金融市場造成嚴重風險,甚至呼籲南韓當局依據資料保護法規展開調查。第三波攻擊則逐漸回歸 Qilin 典型的財務勒索訊息風格。
Bitdefender 指出,Qilin 擁有「內部記者團隊」協助撰寫部落格文章並施加談判壓力,研判資料外洩網站的文字內容由集團核心成員主導發布。
台灣企業應強化 MSP 風險管理
隨著企業數位轉型加速,對 MSP 的依賴程度日益提高,供應鏈資安風險也隨之擴大。Bitdefender 強調,攻擊供應商、承包商或 MSP 是勒索軟體集團取得大量受害者的常見且實際的途徑,這個攻擊盲點經常被忽視。
為降低類似風險,企業應採取以下措施:
- 強制實施多因素驗證
- 落實最小權限原則,限制存取權限
- 對關鍵系統與敏感資料進行網路分段
- 主動採取措施縮減攻擊面
- 定期評估 MSP 與第三方供應商的資安防護能力
金融業作為高價值目標,更應審慎檢視與 MSP 的合作關係,確保供應商符合相應的資安標準,並建立事件應變機制,以因應供應鏈攻擊的威脅。