Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiées par mois. L’analyse couvre ses secteurs ciblés, ses techniques d’intrusion et d’évasion, ainsi qu’une variante Qilin.B optimisée pour les environnements virtualisés.
• Portée et cibles 🎯
- Menace RaaS très prolifique en 2025 (40+ victimes/mois).
- Secteurs les plus touchés : manufacturing (23%), services professionnels (18%), commerce de gros (10%).
- Zones principalement affectées : États‑Unis, Canada, Royaume‑Uni, France, Allemagne.
- Modus operandi : double extorsion (chiffrement + exfiltration de données), avec déploiement de double encryptors pour maximiser l’impact sur réseaux et environnements virtualisés.
• Chaîne d’intrusion et vol d’identifiants 🔐
- Accès initial via identifiants VPN compromis et absence de MFA.
- Credential harvesting avec Mimikatz et outils NirSoft; résultats exfiltrés via Cyberduck vers du stockage cloud.
- PowerShell obfusqué pour désactiver AMSI et la validation TLS, et activer Restricted Admin (authentification par hash).
• Mouvement latéral et outillage 🛠️
- PsExec pour la distribution des encryptors.
- Utilisation d’outils RMM : AnyDesk, ScreenConnect.
- Variante Qilin.B : chiffrement personnalisé basé sur RC4, ciblant ClusterStorage/CSV; déploie Cobalt Strike 4.x avec Malleable C2 imitant le trafic Verisign OCSP; présence de SystemBC.
• Évasion défensive et persistance 🕵️
- EDR evasion avec dark-kill et HRSword (arrêt d’EDR), suppression des VSS et nettoyage des journaux d’événements.
- Persistance via tâches planifiées et clés Run du registre.
• IoCs et TTPs (extrait) 🧭
- IoCs connus (dans l’extrait) : aucun indicateur explicite fourni.
- TTPs clés :
- Accès initial : VPN compromis sans MFA.
- Découverte/Vol d’identifiants : Mimikatz, NirSoft, Restricted Admin.
- Exfiltration : Cyberduck vers cloud.
- Mouvement latéral : PsExec, RMM (AnyDesk, ScreenConnect).
- Command & Control : Cobalt Strike 4.x avec Malleable C2 imitant Verisign OCSP, SystemBC.
- Chiffrement : Qilin encryptors, variante Qilin.B (RC4, CSV/ClusterStorage).
- Évasion : AMSI off, TLS off, dark-kill, HRSword, suppression VSS, clear logs.
- Persistance : tâches planifiées, Run keys.
Type de document: analyse de menace visant à exposer les méthodes, l’outillage et les cibles de Qilin.
🧠 TTPs et IOCs détectés
TTPs
[‘Accès initial via VPN compromis sans MFA’, ‘Credential harvesting avec Mimikatz et outils NirSoft’, ‘Exfiltration des identifiants via Cyberduck vers stockage cloud’, ‘PowerShell obfusqué pour désactiver AMSI et validation TLS’, ‘Activation de Restricted Admin (authentification par hash)’, ‘Mouvement latéral avec PsExec’, “Utilisation d’outils RMM : AnyDesk, ScreenConnect”, ‘Déploiement de Cobalt Strike 4.x avec Malleable C2 imitant Verisign OCSP’, ‘Utilisation de SystemBC pour Command & Control’, ‘Chiffrement avec Qilin encryptors et variante Qilin.B (RC4, CSV/ClusterStorage)’, “Évasion défensive avec dark-kill, HRSword, suppression des VSS, nettoyage des journaux d’événements”, ‘Persistance via tâches planifiées et clés Run du registre’]
IOCs
Aucun indicateur explicite fourni
🔗 Source originale : https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/