Grupul de ransomware Qilin

Qilin (cunoscut și sub denumirile Agenda, Gold Feather și Water Galura) a evoluat într-una dintre cele mai prolifice operațiuni Ransomware-as-a-Service (RaaS) active în prezent. De la începutul anului 2025, grupul a înregistrat peste 40 de victime pe lună (ianuarie a fost singura excepție), atingând un vârf de aproximativ 100 de intrări de scurgeri de informații în iunie și înregistrând 84 de victime în fiecare lună august și septembrie 2025. Activ din iulie 2022, ritmul și tacticile Qilin îl fac un actor cu risc ridicat pentru companiile din întreaga lume.

Cine a fost lovit - Geografie și industrii

Analiza datelor telemetrice ale incidentelor arată că victimele incidentului Qilin sunt concentrate în America de Nord și Europa de Vest, Statele Unite, Canada, Regatul Unit, Franța și Germania fiind printre țările cele mai afectate. Grupul favorizează anumite verticale: industria prelucrătoare reprezintă aproximativ 23% din țintele observate, serviciile profesionale și științifice aproximativ 18%, iar comerțul cu ridicata aproximativ 10%.

Acces inițial și punct de sprijin timpuriu

Anchetatorii cred că multe intruziuni ale afiliaților Qilin încep cu acreditări administrative scurse din depozitele dark web. Adversarii folosesc aceste acreditări pentru a se conecta printr-o interfață VPN și apoi efectuează conexiuni RDP la controlerele de domeniu și alte endpoint-uri compromise. De acolo, trec la cartografierea mediului și la recunoaștere mai aprofundată.

Recoltarea și uneltarea acreditărilor

Campaniile Qilin utilizează pe scară largă instrumente și tehnici de recoltare a acreditărilor. Operatorii și afiliații rulează Mimikatz împreună cu utilitare precum WebBrowserPassView.exe, BypassCredGuard.exe și SharpDecryptPwd pentru a extrage secrete din browsere, depozite de sistem și alte aplicații. Acreditările colectate sunt exfiltrate către servere SMTP externe folosind scripturi Visual Basic. Utilizarea Mimikatz observată în practică a inclus acțiuni pentru:

• șterge jurnalele de evenimente Windows și șterge urmele în alte moduri;
• activează SeDebugPrivilege;
• extrage parolele Chrome salvate din bazele de date SQLite;
• recuperarea acreditărilor din conectările anterioare; și
• configurația de harvest și acreditările pentru RDP, SSH și Citrix.

Viața în ruptul capului și abuzul de instrumente legitime

Actorii care atacă malware combină programe malware evidente cu utilitare de sistem legitime și instrumente de administrare bine-cunoscute pentru a se integra. Au fost văzuți deschizând fișiere cu mspaint.exe, notepad.exe și iexplore.exe pentru a inspecta manual conținutul în căutarea de informații sensibile și folosind clientul Cyberduck autentic pentru a transfera fișierele alese către servere la distanță, ascunzând în același timp intențiile rău intenționate.

Cum sunt valorificate acreditările furate

Odată ce acreditările sunt în posesia lor, actorii Qilin escaladează privilegiile și se răspândesc lateral. Accesul privilegiat a fost utilizat pentru a instala o varietate de produse de monitorizare și gestionare de la distanță (RMM) și acces de la distanță - AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist și ScreenConnect - deși cercetătorii (Talos) nu au putut determina întotdeauna dacă fiecare produs a fost utilizat în principal pentru mișcare laterală sau pentru control persistent de la distanță.

Evaziune, persistență și post-exploatare

Pentru a evita detectarea, atacatorii execută secvențe PowerShell care dezactivează AMSI, dezactivează validarea certificatelor TLS și activează modul Administrator restricționat. De asemenea, implementează utilitare de tip kill-switch, cum ar fi dark-kill și HRSword, pentru a termina produsele de securitate. Pentru persistență și comandă și control ascuns, utilizează Cobalt Strike și SystemBC.

Implementarea și curățarea ransomware-ului

Etapa finală este implementarea ransomware-ului Qilin: fișierele sunt criptate, notele de recompensă sunt plasate în foldere criptate, jurnalele de evenimente Windows sunt șterse, iar toate copiile umbre create de Volume Shadow Copy Service (VSS) sunt șterse pentru a frustra eforturile de recuperare.

Lanțuri avansate de atac hibrid (binar Linux pe Windows + BYOVD)
Unele incidente sofisticate de tip Qilin au combinat mai multe tehnici avansate. Operatorii au implementat un fișier binar ransomware compilat pe Linux, dar l-au executat pe gazde Windows, au asociat această utilă cu o tehnică „bring your own vulnerable driver” (BYOVD) pentru a dezactiva apărarea și au folosit instrumente legitime de management IT pentru a se deplasa prin mediu și a executa utilități. În aceste atacuri, driverul eskle.sys a fost observat ca fiind componenta vulnerabilă a driverului utilizată pentru a dezactiva controalele de securitate, a închide procesele și a evita detectarea.

Direcționarea copiilor de rezervă și furtul de acreditări personalizate

Qilin a vizat în mod specific infrastructura de backup Veeam. Atacatorii au folosit instrumente specializate de extragere a credențialelor împotriva bazelor de date de backup pentru a colecta credențiale, compromițând sistematic platformele de recuperare în caz de dezastru ale organizațiilor înainte de a lansa ransomware, crescând semnificativ riscul pentru victimele afectate.

Mecanisme de phishing și livrare CAPTCHA false

Dincolo de abuzul de conturi valide, anumite intruziuni au început cu spear-phishing sau cu pagini CAPTCHA false în stil ClickFix găzduite pe Cloudflare R2. Aceste pagini par să fure sarcini utile care fură informații și colectează acreditări, care sunt apoi reutilizate pentru a obține acces inițial la rețea.

Tehnicile și infrastructura cheie observate includ:

• Implementarea unui DLL proxy SOCKS pentru a permite accesul la distanță și executarea comenzilor.
• Abuzul de ScreenConnect pentru a rula comenzi de descoperire și instrumente de scanare a rețelei pentru a localiza ținte de mișcare laterală.
• Vizarea sistemelor de backup Veeam pentru extragerea acreditărilor de backup din mai multe baze de date.
• Utilizarea driverului eskle.sys în atacurile BYOVD pentru neutralizarea software-ului de securitate și terminarea proceselor defensive.
• Implementarea clienților PuTTY SSH pentru a se muta lateral pe gazde Linux.
• Rularea instanțelor proxy SOCKS în diferite directoare pentru a obfusca traficul C2 prin backdoor-ul COROXY.
• Folosirea WinSCP pentru a muta fișierul binar ransomware Linux pe sistemele Windows.
• Folosirea SRManager.exe din Splashtop Remote pentru a executa fișierul binar ransomware Linux direct pe mașinile Windows.

Impactul pe mai multe platforme și direcționarea către virtualizare

Binarul Linux oferă capacitate multi-platformă: o singură sarcină utilă poate afecta atât sistemele Linux, cât și cele Windows într-un mediu. Mai recent, mostrele Qilin au fost actualizate pentru a detecta mediile Nutanix AHV, demonstrând că grupul își extinde direcționarea dincolo de implementările tradiționale VMware în infrastructuri hiperconvergente moderne.

Rezumat

Operațiunea Qilin combină furtul de acreditări, utilizarea abuzivă a instrumentelor de administrare legitime, tehnici BYOVD (Bring Your Own Default, Dezvoltare Proprie a Identității), atacuri țintite asupra sistemelor de backup și ransomware multi-platformă pentru a maximiza impactul și a evita detectarea. Apărătorii ar trebui să acorde prioritate igienei acreditărilor, autentificării multifactor pe interfețele de acces la distanță, segmentării sistemelor de backup, monitorizării riguroase a utilizării anormale a instrumentelor legitime de gestionare la distanță și controalelor pentru detectarea activității BYOVD bazate pe drivere. Aceste măsuri reduc probabilitatea ca acreditările colectate sau un singur punct de compromitere să ducă la implementarea ransomware la scară largă.