Qilin забрал всё: жертв, технику и даже людей — 72 жертвы за месяц и рост, который не остановить
NewsMakerОдин загрузчик оказался умнее сотни антивирусов, доведя заражение до уровня эпидемии.
Группировка Qilin, известная также под названием Agenda, возглавила рейтинг самых активных операторов программ-вымогателей в апреле 2025 года, опубликовав данные 72 жертв на своём сайте утечек. По данным Group-IB, это рекордный показатель: с июля 2024 по январь 2025 количество таких публикаций редко превышало 23 в месяц, однако с февраля кривая резко пошла вверх — 48 случаев в феврале, 44 в марте и 45 уже в первые недели апреля.
Главным толчком к усилению активности стало внезапное исчезновение конкурирующей группировки RansomHub, ранее занимавшей второе место по числу атак. После её распада значительное количество аффилированных злоумышленников переметнулось к Qilin, что обеспечило экспоненциальный рост масштабов их операций. По данным Flashpoint, только за год с апреля 2024 по апрель 2025 RansomHub успела поразить 38 организаций в финансовом секторе, прежде чем исчезнуть из поля зрения.
Особенность кампаний Qilin заключается в использовании новой связки вредоносных компонентов: уже известного модуля SmokeLoader и нового .NET-загрузчика, получившего кодовое имя NETXLOADER.
Исследователи Trend Micro подробно изучили NETXLOADER и отметили его ключевую роль в распространении вредоносных программ, включая саму Agenda и SmokeLoader. Этот загрузчик скрытно устанавливает вредоносные модули, защищён от анализа при помощи системы .NET Reactor версии 6 и использует множество обходных техник.
NETXLOADER крайне сложно анализировать: код зашифрован, имена методов неинформативны, а логика исполнения запутана. Используются продвинутые методы сокрытия, такие как JIT-хуки и контролируемая загрузка DLL-библиотек напрямую в память, что делает невозможным статический анализ или поиск по строкам. По сути, без запуска в реальной среде понять, что именно выполняет этот загрузчик, невозможно.
Цепочки атак чаще всего стартуют с фишинга или компрометации реальных учётных записей, после чего на заражённую систему попадает NETXLOADER. Далее он активирует SmokeLoader, который выполняет антианализ, проверки на виртуализацию и отключает процессы из заранее заданного списка. На финальной стадии SmokeLoader связывается с удалённым сервером управления и получает оттуда NETXLOADER, уже загружающий вымогатель Agenda через технику Reflective DLL Loading — подгрузку библиотеки напрямую в память без записи на диск.
Agenda активно применяется для атак на сетевые домены, внешние накопители, хранилища и гипервизоры VCenter ESXi. По наблюдениям Trend Micro, наиболее частыми жертвами становятся организации из здравоохранения, финансового сектора, телекоммуникаций и IT-инфраструктуры в таких странах, как США, Индия, Бразилия, Филиппины и Нидерланды.
По мере роста количества жертв и технической зрелости используемых инструментов Qilin продолжает укреплять позиции как один из самых технологически продвинутых вымогателей на киберпреступной арене.
Группировка Qilin, известная также под названием Agenda, возглавила рейтинг самых активных операторов программ-вымогателей в апреле 2025 года, опубликовав данные 72 жертв на своём сайте утечек. По данным Group-IB, это рекордный показатель: с июля 2024 по январь 2025 количество таких публикаций редко превышало 23 в месяц, однако с февраля кривая резко пошла вверх — 48 случаев в феврале, 44 в марте и 45 уже в первые недели апреля.
Главным толчком к усилению активности стало внезапное исчезновение конкурирующей группировки RansomHub, ранее занимавшей второе место по числу атак. После её распада значительное количество аффилированных злоумышленников переметнулось к Qilin, что обеспечило экспоненциальный рост масштабов их операций. По данным Flashpoint, только за год с апреля 2024 по апрель 2025 RansomHub успела поразить 38 организаций в финансовом секторе, прежде чем исчезнуть из поля зрения.
Особенность кампаний Qilin заключается в использовании новой связки вредоносных компонентов: уже известного модуля SmokeLoader и нового .NET-загрузчика, получившего кодовое имя NETXLOADER.
Исследователи Trend Micro подробно изучили NETXLOADER и отметили его ключевую роль в распространении вредоносных программ, включая саму Agenda и SmokeLoader. Этот загрузчик скрытно устанавливает вредоносные модули, защищён от анализа при помощи системы .NET Reactor версии 6 и использует множество обходных техник.
NETXLOADER крайне сложно анализировать: код зашифрован, имена методов неинформативны, а логика исполнения запутана. Используются продвинутые методы сокрытия, такие как JIT-хуки и контролируемая загрузка DLL-библиотек напрямую в память, что делает невозможным статический анализ или поиск по строкам. По сути, без запуска в реальной среде понять, что именно выполняет этот загрузчик, невозможно.
Цепочки атак чаще всего стартуют с фишинга или компрометации реальных учётных записей, после чего на заражённую систему попадает NETXLOADER. Далее он активирует SmokeLoader, который выполняет антианализ, проверки на виртуализацию и отключает процессы из заранее заданного списка. На финальной стадии SmokeLoader связывается с удалённым сервером управления и получает оттуда NETXLOADER, уже загружающий вымогатель Agenda через технику Reflective DLL Loading — подгрузку библиотеки напрямую в память без записи на диск.
Agenda активно применяется для атак на сетевые домены, внешние накопители, хранилища и гипервизоры VCenter ESXi. По наблюдениям Trend Micro, наиболее частыми жертвами становятся организации из здравоохранения, финансового сектора, телекоммуникаций и IT-инфраструктуры в таких странах, как США, Индия, Бразилия, Филиппины и Нидерланды.
По мере роста количества жертв и технической зрелости используемых инструментов Qilin продолжает укреплять позиции как один из самых технологически продвинутых вымогателей на киберпреступной арене.