A Microsoft afirma que um grupo de hackers norte-coreano, rastreado como Moonstone Sleet, tem implantado payloads do ransomware Qilin em um número limitado de ataques recentes.
"Desde o final de fevereiro de 2025, a Microsoft observou Moonstone Sleet, um ator estatal norte-coreano, implantando o ransomware Qilin em um número limitado de organizações", disseram os especialistas em inteligência de ameaças da empresa nesta semana.
Moonstone Sleet anteriormente só utilizava seu próprio ransomware personalizado em seus ataques, e esta representa a primeira instância na qual estão implementando um ransomware desenvolvido por um operador de RaaS.
Anteriormente monitorado como Storm-1789, a atividade deste grupo de ameaças inicialmente se sobrepunha com outros atacantes norte-coreanos como Diamond Sleet e Onyx Sleet.
No entanto, desde então mudou para suas próprias táticas, ferramentas sob medida e infraestrutura de ataque.
A Microsoft diz que os hackers do Moonstone Sleet estão visando alvos financeiros e de ciberespionagem usando software trojanizado (por exemplo, PuTTY), loaders de malware personalizados, jogos maliciosos e pacotes npm, e empresas de desenvolvimento de software falsas (por exemplo, C.C.
Waterfall, StarGlow Ventures) criadas para interagir com potenciais vítimas no LinkedIn, várias redes de freelancers, Telegram ou via e-mail.
Desde que surgiu em agosto de 2022 sob o nome "Agenda", a gangue do ransomware Qilin já reivindicou mais de 300 vítimas em seu site de vazamento na dark web.
No entanto, a operação Ransomware-as-a-Service (RaaS) estava pouco ativa até que os ataques atingiram o pico no final de 2023.
Em dezembro de 2023, afiliados ao Qilin começaram a implantar um dos encryptors Linux mais avançados para mirar em máquinas virtuais VMware ESXi.
Até agora, a BleepingComputer viu demandas de resgate do Qilin variando de $25,000 a milhões, dependendo do tamanho das vítimas.
O Qilin já reivindicou mais de 310 vítimas desde que surgiu, incluindo a gigante automobilística Yangfeng, a editora de jornais americana Lee Enterprises, o Court Services Victoria da Austrália e o provedor de serviços de patologia Synnovis.
Este último levou a uma interrupção que impactou vários grandes hospitais do NHS em Londres, o que os obrigou a cancelar centenas de operações e consultas.
Em maio de 2024, a Microsoft também vinculou Moonstone Sleet a uma variante personalizada do ransomware FakePenny.
Após um ataque bem-sucedido de ransomware FakePenny, os hackers norte-coreanos foram observados pedindo um resgate de $6.6 milhões em BTC.
Moonstone Sleet não é o primeiro grupo de ameaças apoiado pela Coreia do Norte ligado a ataques de ransomware nos últimos anos.
Em maio de 2017, os governos dos EUA e do Reino Unido culparam o Grupo Lazarus pelo surto de ransomware WannaCry, que derrubou centenas de milhares de computadores em todo o mundo.
Anos depois, em julho de 2022, a Microsoft e o FBI vincularam hackers norte-coreanos às operações de ransomware Holy Ghost e aos ataques de ransomware Maui visando organizações de saúde.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...