📌 Contexte

Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS).

🔗 Chaîne d’attaque

Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine.

🎣 Mécanisme de la campagne ZipLine

Premièrement décrite de manière exhaustive fin 2025 par Check Point Research, la campagne ZipLine cible spécifiquement :

  • Les industries manufacturières critiques
  • Les PME exportatrices

Les attaquants se font passer pour des recruteurs ou chasseurs de têtes, initient un échange épistolaire prolongé et apparemment légitime via le formulaire de contact public des entreprises cibles, et incitent les victimes — après plusieurs jours ou semaines — à ouvrir un fichier ZIP malveillant.

🌍 Impact géographique

  • Autriche : plusieurs cas confirmés
  • Suisse : un incident signalé avec ZipLine identifié comme vecteur initial

📄 Nature de l’article

Il s’agit d’une alerte de sécurité émise par le CERT.at, visant à informer les organisations des pays concernés de la menace combinée ZipLine/Qilin et de son mode opératoire.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Qilin (cybercriminal) —

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1598.003 — Phishing for Information: Spearphishing via Service (Reconnaissance)
  • T1650 — Acquire Access (Resource Development)
  • T1486 — Data Encrypted for Impact (Impact)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ✅ cert.at — source reconnue (liste interne) (20pts)
  • ✅ 853 chars — extrait court (5pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Qilin (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.cert.at/de/aktuelles/2026/5/zipline-qilin-raas-update

🖴 Archive : https://web.archive.org/web/20260528070705/https://www.cert.at/de/aktuelles/2026/5/zipline-qilin-raas-update