🗓️ Contexte
Publié le 6 avril 2026 par The Hacker News, cet article s’appuie sur des recherches de Cisco Talos et Trend Micro portant sur les opérations ransomware Qilin et Warlock.
🎯 Technique utilisée : BYOVD
Les deux groupes ont été observés en train d’utiliser la technique Bring Your Own Vulnerable Driver (BYOVD), qui consiste à déployer un pilote légitime mais vulnérable afin de contourner ou neutraliser les outils de sécurité actifs sur les hôtes compromis.
🔍 Détails sur Qilin
Dans les attaques Qilin analysées par Cisco Talos, les acteurs déploient une DLL malveillante nommée msimg32.dll, utilisée dans le cadre de cette chaîne d’attaque.
📄 Nature de l’article
Il s’agit d’une analyse de menace basée sur des rapports de recherche de deux éditeurs de cybersécurité, visant à documenter les tactiques évolutives des opérateurs ransomware Qilin et Warlock.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1211 — Exploitation for Defense Evasion (Defense Evasion)
- T1543.003 — Create or Modify System Process: Windows Service (Persistence)
- T1486 — Data Encrypted for Impact (Impact)
IOC
- Fichiers :
msimg32.dll
Malware / Outils
- Qilin (ransomware)
- Warlock (ransomware)
🟡 Indice de vérification factuelle : 51/100 (moyenne)
- ✅ thehackernews.com — source reconnue (liste interne) (20pts)
- ✅ 685 chars — extrait court (5pts)
- ✅ 1 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : Qilin, Warlock (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html