Qilin

Selon un extrait d’actualité de Tages-Anzeiger publié le 8 novembre 2025, la banque Habib Bank Zurich a été victime d’un cyberattaque attribuée au groupe de hackers russe Qilin. 🚨 Type d’incident: cyberattaque avec vol/exfiltration de données. 🏦 Cyberattaque contre la Habib Bank Zürich — le groupe russe Qilin revendique le vol de 2,5 To de données Date : 8 novembre 2025 Source : Tages-Anzeiger / Cybernews Auteur : Anna Luna Frauchiger ...

Selon l’extrait d’actualité fourni, des cas récents montrent l’abus de l’outil open source Cyberduck par des acteurs du ransomware Qilin pour l’exfiltration de données. Les attaquants tirent parti de services cloud légitimes pour l’exfiltration 📤, ce qui leur permet de camoufler leurs activités au sein de domaines de confiance et de trafic web légitime. Un artefact clé mentionné est le fichier d’historique Cyberduck, qui indique l’usage d’un hôte Backblaze comme destination ainsi que l’activation d’un paramètre personnalisé de téléversements fractionnés/multipart afin de transférer de gros fichiers ☁️. ...

Selon l’article cité, Qilin n’est pas un groupe de pirates isolé mais une « franchise » de services cybercriminels apparue en 2022 et entourée de mystère. Le texte explique que Qilin propose ses services « contre rémunération », décrivant un modèle de franchise où des tiers peuvent utiliser ses outils ou capacités. Il indique que les concepteurs de Qilin sont à l’origine d’un logiciel malveillant qui a paralysé 80% des lycées publics des Hauts-de-France 🏫 depuis le 10 octobre. ...

Source: ISMG (article de Mathew J. Schwartz, 16 octobre 2025). Contexte: L’article examine pourquoi l’opération de ransomware-as-a-service Qilin est la plus active pour le deuxième trimestre consécutif, en détaillant son usage d’hébergements bulletproof, sa stratégie d’affiliation et ses principales cibles et tendances. • Qilin s’appuie étroitement sur un réseau de fournisseurs d’hébergement liés à Saint-Pétersbourg (Russie) et Hong Kong, offrant une politique « zero KYC » qui permet d’héberger du contenu illicite hors de portée des forces de l’ordre, selon Resecurity. Le groupe exploite aussi plusieurs services de partage de fichiers situés dans des juridictions complexes pour la mise à disposition et l’exfiltration de données. ...

Selon The Record, alors qu’Asahi annonçait avoir relancé la production de sa bière Super Dry au Japon, le gang de rançongiciel Qilin a publié des captures d’écran de documents qu’il présente comme issus des réseaux internes de l’entreprise. L’information met en lumière une revendication de la part de Qilin, un groupe de cybercriminels spécialisé dans les attaques par rançongiciel. Les éléments partagés par le groupe incluent des captures d’écran de documents censés provenir de réseaux internes d’Asahi. ...

ReliaQuest (Threat Spotlight) publie une analyse du paysage ransomware au T3 2025, mettant en avant une intensification des menaces, des évolutions tactiques notables et des mesures défensives recommandées. 📈 Le trimestre enregistre un record de 81 sites de fuite de données actifs. Le paysage se fragmente, de plus petites équipes comblant le vide laissé par de grandes opérations, ce qui entraîne des schémas d’attaque imprévisibles touchant de nouveaux secteurs et régions. La Thaïlande subit une hausse de 69 % des attaques, tandis que le secteur de la santé progresse de 31 %, porté par des groupes émergents. Qilin reste le groupe le plus actif avec un nombre record de victimes listées. ...

Source: TechRadar (22 août 2025). L’article rapporte qu’un rançongiciel opéré par le gang Qilin a visé Nissan Creative Box, le studio de design créatif de Nissan, et que les auteurs menacent de divulguer les données. L’acteur de menace Qilin a ajouté Nissan Creative Box à son site de fuite et affirme avoir exfiltré plus de 4 To de fichiers sensibles. Il s’agit d’une attaque par ransomware avec menace de publication en ligne des données dérobées. ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Cet article, publié le 18 juillet 2025, met en lumière le groupe Qilin, un acteur significatif dans le domaine des cybermenaces. Initialement observé en juillet 2022 sous le nom d’Agenda ransomware, le groupe a été rebaptisé Qilin en septembre de la même année. Depuis février 2023, Qilin a évolué pour opérer en tant que Ransomware-as-a-Service (RaaS). Ce modèle permet à divers affiliés d’utiliser leur infrastructure pour mener des attaques de ransomware, en échange d’une part des rançons collectées. ...

Selon un rapport de Cybereason, le paysage des ransomwares connaît une période de réorganisation tumultueuse. Des groupes autrefois dominants comme RansomHub, LockBit, Everest et BlackLock ont récemment subi des fermetures soudaines, des échecs opérationnels et des attaques sur leurs infrastructures du dark web, révélant une instabilité profonde dans l’écosystème cybercriminel. En mars 2025, RansomHub, considéré comme le groupe de ransomwares le plus actif de 2024, a disparu sans explication. Ce groupe s’était imposé rapidement grâce à un modèle de Ransomware-as-a-Service (RaaS) bien huilé. Cependant, sa disparition subite a laissé ses victimes en pleine négociation, semant la confusion. En parallèle, d’autres sites de fuites de ransomwares ont subi des perturbations inattendues, notamment LockBit et Everest, ciblés par des acteurs anonymes se faisant appeler “XOXO from Prague”. ...