🎯 Contexte

Publié le 15 mai 2026 par Guardsix (anciennement Logpoint), cet article constitue une analyse de menace approfondie sur le groupe ransomware Qilin, initialement connu sous le nom Agenda lors de son émergence en mi-2022.

🕵️ Profil du groupe

Qilin est un groupe cybercriminel basé en Russie opérant sous un modèle Ransomware-as-a-Service (RaaS). Les opérateurs développent et maintiennent la plateforme tandis que des affiliés conduisent les intrusions en échange d’un pourcentage des rançons. Le groupe a connu une montée en puissance significative en 2023, s’accélérant en 2024 et 2025.

Statistiques clés :

  • ~1 697 victimes publiquement listées au total
  • 421 victimes revendiquées sur une période de 90 jours
  • ~210 victimes en octobre 2025 seul
  • Activité couvrant la période Q2 2025 – Q1 2026 comme pic d’activité

🛠️ Évolution technique

Qilin a évolué d’un chiffreur basé sur Golang vers un ransomware cross-platform basé sur Rust, capable de cibler :

  • Windows
  • Linux
  • VMware ESXi

Le panneau affilié supporte : exécution personnalisée, terminaison de services, redémarrage en mode sans échec, mouvement latéral, et fonctionnalités d’extorsion avancées.

💰 Tactiques d’extorsion

Au-delà de la double extorsion (chiffrement + vol de données), Qilin a introduit :

  • Extorsion DDoS
  • Fonctionnalité “Call Lawyer” : analyse des données volées sous l’angle RGPD, CCPA, HIPAA pour maximiser la pression légale et réglementaire sur les victimes

🎯 Secteurs et géographies ciblés

Secteurs prioritaires : Industrie manufacturière, Technologie, Santé, Construction

Pays les plus touchés : États-Unis, Royaume-Uni, Allemagne, Canada, Espagne

⚙️ Chaîne d’attaque technique

Accès initial :

  • Exploitation de CVE-2024-21762 et CVE-2024-55591
  • Campagnes ClickFix menant à des infections StealC v2
  • Credentials administratifs volés/leakés
  • Compromission VPN sans MFA
  • Modification de GPO Active Directory pour activer RDP

Persistance : Registry Run Keys, tâches planifiées, comptes backdoor, paramètres RDP modifiés

Élévation de privilèges : Ajout de comptes au groupe Administrateurs locaux via net, partages réseau permissifs

Évasion : fsutil pour liens symboliques, effacement des journaux Windows, désactivation AMSI, techniques BYOVD (DarkKill, HRSword) pour neutraliser les EDR

Accès aux credentials : Dump LSASS, activation WDigest, harvest Veeam, Mimikatz, SharpDecryptPwd

Découverte : PowerShell + module ActiveDirectory, WNetOpenEnum/WNetEnumResource, nltest, netscan, RMM (ScreenConnect, AnyDesk via Atera)

Mouvement latéral : PsExec, RDP, SSH, WSL pour exécuter des payloads Linux depuis Windows

Collecte/Exfiltration : Scripts SMTP, WinRAR, easyupload[.]io

Impact : Manipulation VSS, suppression des shadow copies, chiffrement fichiers locaux et réseau, extension .qilin ou personnalisée, notes de rançon README-RECOVER.txt, site de fuite sur .onion

📋 Type d’article

Il s’agit d’une analyse de menace publiée par un éditeur de solutions de sécurité, visant à documenter de manière exhaustive les capacités techniques, opérationnelles et géographiques du groupe Qilin à des fins de détection et de renseignement sur les menaces.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Qilin (cybercriminal) —

TTP

  • T1566 — Phishing (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1059.003 — Windows Command Shell (Execution)
  • T1059.001 — PowerShell (Execution)
  • T1053 — Scheduled Task/Job (Persistence)
  • T1547.001 — Registry Run Keys / Startup Folder (Persistence)
  • T1136 — Create Account (Persistence)
  • T1112 — Modify Registry (Persistence)
  • T1134 — Access Token Manipulation (Privilege Escalation)
  • T1098 — Account Manipulation (Privilege Escalation)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1070 — Indicator Removal (Defense Evasion)
  • T1222.001 — Windows File and Directory Permissions Modification (Defense Evasion)
  • T1562.001 — Disable or Modify Tools (Defense Evasion)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1082 — System Information Discovery (Discovery)
  • T1046 — Network Service Discovery (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1018 — Remote System Discovery (Discovery)
  • T1021.002 — SMB/Windows Admin Shares (Lateral Movement)
  • T1021.001 — Remote Desktop Protocol (Lateral Movement)
  • T1021.004 — SSH (Lateral Movement)
  • T1560.001 — Archive via Utility (Collection)
  • T1219.002 — Remote Desktop Software (Command and Control)
  • T1090.003 — Multi-hop Proxy (Command and Control)
  • T1567.002 — Exfiltration to Cloud Storage (Exfiltration)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
  • T1490 — Inhibit System Recovery (Impact)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

Malware / Outils

  • Qilin (ransomware)
  • StealC v2 (stealer)
  • Mimikatz (tool)
  • SharpDecryptPwd (tool)
  • DarkKill (tool)
  • HRSword (tool)
  • PsExec (tool)
  • WinRAR (tool)
  • Netscan (tool)
  • ScreenConnect (tool)
  • AnyDesk (tool)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ guardsix.com — source non référencée (0pts)
  • ✅ 24589 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 31 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Qilin (5pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://guardsix.com/blog/qilin-from-emergence-to-global-ransomware-dominance