Gruparea ransomware Qilin, cunoscută anterior sub numele Agenda, a fost observată folosind Windows Subsystem for Linux (WSL) pentru a rula encryptori Linux direct pe sisteme Windows, o tactică menită să ocolească soluţiile tradiţionale de securitate. Cercetătorii de la Trend Micro şi Cisco Talos au semnalat că Qilin a devenit una dintre cele mai active operaţiuni ransomware ale anului 2025, cu peste 700 de victime în 62 de ţări şi o medie de peste 40 de atacuri publicate lunar.
Ameninţarea a apărut în august 2022 sub denumirea Agenda, fiind rebranduită ulterior în Qilin. Afiliatii folosesc o combinaţie de instrumente legitime de acces la distanţă, precum AnyDesk, ScreenConnect şi Splashtop, alături de tehnici avansate de sustragere a datelor şi menţinere a accesului în reţelele compromise. O metodă des utilizată este „Bring Your Own Vulnerable Driver” (BYOVD), prin care atacatorii încarcă drivere semnate, dar vulnerabile, pentru a dezactiva soluţiile antivirus şi EDR. În plus, folosesc tehnici de DLL sideloading pentru a instala drivere kernel suplimentare, obţinând astfel privilegii la nivel de nucleu.
Instrumentele open-source dark-kill şi HRSword sunt frecvent folosite pentru dezactivarea software-ului de securitate şi ştergerea urmelor, în timp ce aplicaţii precum Cyberduck şi WinRAR sunt utilizate pentru exfiltrarea datelor, făcând dificilă distincţia între activitate legitimă şi comportament maliţios.
Cea mai recentă descoperire este un encryptor Qilin compilat pentru Linux, conceput iniţial pentru medii VMware ESXi, pe care atacatorii îl rulează în mediul Windows prin WSL. După transferul payload-ului folosind instrumente precum WinSCP, acesta este executat cu comanda wsl.exe, permiţând criptarea fişierelor dintr-un subsistem Linux fără a porni o maşină virtuală.
Această tehnică este deosebit de periculoasă deoarece activitatea din WSL este dificil de observat de soluţiile EDR concentrate exclusiv pe procese Windows. Trend Micro avertizează că abordarea demonstrează adaptabilitatea actorilor cibernetici la infrastructurile hibride şi evidenţiază nevoia ca organizaţiile să extindă monitorizarea şi către spaţiul WSL.
Specialiştii recomandă ca firmele să monitorizeze activitatea WSL, să limiteze instalarea de drivere semnate suspecte, să securizeze accesul la distanţă prin autentificare multifactor şi să menţină infrastructura actualizată. Totodată, backup-urile offline şi segmentarea reţelei rămân esenţiale pentru reducerea riscului în cazul unui atac de tip Qilin.
