Operațiunea ransomware cunoscută sub numele Qilin a fost observată folosind Windows Subsystem for Linux (WSL) pentru a rula encryptori scriși pentru Linux direct pe gazde Windows, o tactică menită să ocolească detecțiile convenționale.
Analize recente ale firmelor de securitate Trend Micro și Cisco Talos arată că gruparea a devenit una dintre cele mai active amenințări ransomware din 2025, cu peste 700 de victime în 62 de țări și ritmuri de publicare a victimelor de peste 40 pe lună în a doua jumătate a anului.
Qilin a evoluat dintr-o amenințare denumită inițial „Agenda” (august 2022), rebranduită în septembrie 2022 și continuând să opereze sub acest nume.
Afiliații grupului combină instrumente legitime de acces la distanță, AnyDesk, ScreenConnect, Splashtop, cu utilitare comune și tehnici avansate pentru a sustrage date și a obține persistenta în rețele compromise.
Metode de penetrare și neutralizare a protecțiilor
Operatorii Qilin recurg frecvent la „Bring Your Own Vulnerable Driver” (BYOVD): încarcă drivere semnate dar vulnerabile (de exemplu eskle.sys) pentru a opri procesele antivirus și EDR.
De asemenea, folosesc DLL sideloading pentru a instala drivere kernel suplimentare (rwdrv.sys, hlpdrv.sys) care le oferă privilegii la nivel de nucleu. Talos a mai identificat utilizarea unor instrumente open-source precum dark-kill și HRSword pentru dezactivarea software-ului de securitate și ștergerea urmelor.
Pentru exfiltrare și recon, actorii folosesc atât aplicații de management de fișiere (Cyberduck, WinRAR) cât și instrumente legitime pentru a inspecta documentele și a extrage date sensibile.
În mod firesc, folosirea utilitarelor de sistem (mspaint.exe, notepad.exe) face mai dificilă distincția între activitatea normală și cea malițioasă.
Linux encryptor lansat prin WSL
O componentă distinctivă descoperită recent este encryptorul Qilin compilat pentru Linux (fișier ELF), conceput inițial pentru a viza medii precum VMware ESXi. Afiliații transferă payload-ul pe sistemele compromise folosind instrumente precum WinSCP și îl lansează în mediul Windows folosind Splashtop (SRManager.exe).
Deoarece fișierele ELF nu rulează nativ pe Windows, atacatorii activează sau instalează WSL și execută encryptorul Linux în acel subsistem, de obicei apelând wsl.exe -e sau scripturi automate.
Folosirea WSL le permite să execute cod Linux „nativ” pe Windows fără a porni o mașină virtuală, iar multe soluții EDR concentrate pe comportamentele binare Windows pot rata activitatea care se desfășoară în spațiul WSL.
Trend Micro atrage atenția că această tehnică evidențiază adaptabilitatea actorilor rău intenționați în medii hibride Windows-Linux.
Consecințe și recomandări pentru apărare
Tactica pune presiune pe organizații, mai ales pe cele cu infrastructuri mixte sau care rulează servere virtualizate. Pentru a reduce riscul, recomandările practice includ:
- Monitorizare WSL: adăugați reguli specifice pentru detectarea activității WSL (execuții neobișnuite wsl.exe, instalări automate de distribuții, execuții de binare ELF prin WSL).
- Controlul driverelor: blocați sau monitorizați instalarea de drivere semnate suspecte și utilizați liste de permitere unde este posibil.
- Hardening acces la distanță: restricționați și logați accesul prin soluții precum AnyDesk / Splashtop; asigurați autentificare puternică și aprobare multifactor pentru conectările administrative.
- Detecție a suprapunerilor și a exfiltrării: monitorizați comportamentele de tip WebView/overlay și fluxurile de date care seamănă cu exfiltrarea către servicii externe.
- Segmentare și backup: izolați infrastructura critică, limitați drepturile conturilor și păstrați backup-uri air-gapped și testate pentru restaurare rapidă.
- Actualizări și protecții endpoint: mențineți SO și agenți EDR actualizați; folosiți soluții care urmăresc și procesarea la nivel de kernel și activitățile în spațiul utilizatorului Windows și WSL.