Os resultados da investigação conjunta ao incidente por parte de autoridades e especialistas do setor privado determinaram que o ataque começou a 15 de junho de 2022, quando o primeiro 'malware' (programas ou aplicações maliciosas) foi instalado nos servidores da SK Telecom (SKT).
Desde então e até que foram detetadas anomalias, a 18 de abril de 2025, o vírus espalhou-se a pelo menos 23 servidores, alguns dos quais continham informações privadas, como nomes, datas de nascimento, números de telefone, endereços de e-mail e identificadores únicos de dispositivos móveis (IMEI, na sigla em inglês).
A análise revelou ainda que os servidores infetados permitiram o acesso a 25 tipos diferentes de dados pessoais, incluindo chaves de autenticação dos cartões SIM.
Os resultados indicam ainda que a falta de registos entre junho de 2022 e dezembro de 2024 torna impossível descartar a possibilidade de dados pessoais terem sido roubados.
Analistas do setor privado suspeitam que o Red Menshen seja responsável pelo ataque, dado o envolvimento do grupo em ataques semelhantes contra empresas de telecomunicações na Ásia, usando também o programa de infiltração BPFDoor.
O Red Menshen é uma organização de piratas informáticos que, de acordo com empresas de cibersegurança como a PwC e a Trend Micro, é ligada à China e alegadamente apoiada por Pequim.
No caso da SKT, foi detetada a utilização de uma técnica conhecida como 'web shell', que permite aos atacantes controlar remotamente servidores comprometidos.
Im Jong-in, professor da Universidade da Coreia, acredita que a escala e o método de execução do ciberataque podem refletir uma estratégia que visa desativar a infraestrutura essencial em caso de conflito, em vez de simplesmente roubar informações pessoais, de acordo com a agência de notícias pública sul-coreana Yonhap.
No total, foram comprometidos 26,96 milhões de cartões SIM, de acordo com o relatório, e a SKT já substituiu ou limpou mais de 1,9 milhões, um número que deverá aumentar nos próximos meses, apesar de problemas de fornecimento.
Além disso, 2,5 milhões de utilizadores inscreveram-se no serviço de proteção contra fraudes, e mais de nove mil apresentaram ações coletivas junto da justiça da Coreia do Sul, pedindo compensação financeira e maior transparência sobre a extensão do ataque.
A empresa estima perdas potenciais de até sete biliões de wons (4,49 mil milhões de euros), disse o presidente executivo, Ryu Young-sang, no parlamento sul-coreano.
O presidente do grupo SK, Chey Tae-won, emitiu um pedido de desculpas público pelo escândalo no início do mês, reconhecendo falhas na comunicação e na resposta.
Leia Também: Ciberataque atinge partido no poder na Polónia em semana de eleições
