Microsoft meldt dat een Noord-Koreaanse hackgroep, getraceerd als Moonstone Sleet, Qilin-ransomware heeft ingezet in een beperkt aantal recente aanvallen.

“Sinds eind februari 2025 heeft Microsoft waargenomen dat Moonstone Sleet, een Noord-Koreaanse staatsactor, Qilin-ransomware inzet bij een beperkt aantal organisaties,” aldus de experts op het gebied van dreigingsinformatie van het bedrijf deze week.

“Moonstone Sleet heeft voorheen uitsluitend hun eigen aangepaste ransomware gebruikt in hun aanvallen, en dit is de eerste keer dat ze ransomware inzetten die is ontwikkeld door een RaaS-operator.”

Voorheen volgde deze dreigingsgroep, bekend als Storm-1789, een activiteit die aanvankelijk overlapte met andere Noord-Koreaanse aanvallers zoals Diamond Sleet en Onyx Sleet. Echter, sindsdien hebben ze hun eigen tactieken en aangepaste hulpmiddelen en infrastructuur voor aanvallen ontwikkeld.

Volgens Microsoft richten Moonstone Sleet-hackers zich op zowel financiële als cyber-spionagedoelen met behulp van getrojaniseerde software (bijv. PuTTY), aangepaste malware-loaders, kwaadaardige games en npm-pakketten, en nepsoftware-ontwikkelingsbedrijven (bijv. C.C. Waterfall, StarGlow Ventures) die zijn opgezet om in contact te komen met potentiële slachtoffers via LinkedIn, verschillende freelancenetwerken, Telegram of via e-mail.

Sinds het eind augustus 2022 opdook onder de naam “Agenda”, heeft de Qilin-ransomwaregroep meer dan 300 slachtoffers geclaimd op hun dark web-leksite. Echter, de Ransomware-as-a-Service (RaaS) operatie was nauwelijks actief tot de aanvallen een piek bereikten tegen het einde van 2023. In december 2023 begonnen Qilin-partners een van de meest geavanceerde Linux-encryptors te gebruiken om zich te richten op VMware ESXi virtual machines.

Tot nu toe heeft BleepingComputer losgeldeisen van Qilin gezien variërend van $25,000 tot miljoenen, afhankelijk van de grootte van de slachtoffers. Qilin heeft sinds zijn opkomst meer dan 310 slachtoffers geclaimd, waaronder autogigant Yangfeng, de Amerikaanse krantenuitgever Lee Enterprises, Australia’s Court Services Victoria en de pathologiedienstverlener Synnovis.

De laatste leidde tot een storing die verschillende grote NHS-ziekenhuizen in Londen trof, waardoor ze honderden operaties en afspraken moesten annuleren.

In mei 2024 koppelde Microsoft Moonstone Sleet ook aan een aangepaste FakePenny-ransomwarevariant. Na een succesvolle FakePenny-ransomwareaanval werden de Noord-Koreaanse hackers gezien die om een losgeldverzoek van $6,6 miljoen in BTC vroegen.

Moonstone Sleet is niet de eerste door Noord-Korea gesteunde dreigingsgroep die in de afgelopen jaren is gekoppeld aan ransomware-aanvallen. In mei 2017 gaven de Amerikaanse en Britse regeringen de Lazarus Group de schuld van de WannaCry-ransomware-uitbraak, die wereldwijd honderdduizenden computers platlegde.

Jaren later, in juli 2022, koppelden Microsoft en de FBI Noord-Koreaanse hackers aan de Holy Ghost-ransomware operatie en Maui-ransomware aanvallen gericht op zorgorganisaties.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----