مجموعة الـ Qilin الفدائية، المعروفة أيضًا باسم Agenda، طورت هجومًا هجينًا باستخدام حمولات لينكس على مضيفي ويندوز للتهرب من الكشف. من خلال إساءة استخدام أدوات إدارة عن بعد شرعية واستغلال برامج تشغيل ضعيفة، يقوم المهاجمون بتعطيل الدفاعات واستهداف النسخ الاحتياطية. تبرز هذه التكتيك متعدد المنصات تطور التعقيد في برمجيات الفدية.
عملية الـ Qilin الفدائية، النشطة منذ عام 2022، برزت كواحدة من أكثر مجموعات الـ ransomware-as-a-service إنتاجية في عام 2025، مدعية أكثر من 40 ضحية شهريًا ووصلت إلى ذروة 100 في يونيو، وفقًا لتحليل Trend Micro. في حملة حديثة وصفها باحثو الأمان، نشر Qilin ملف تنفيذي فدائي لينكس على أنظمة ويندوز عبر أدوات موثوقة مثل WinSCP لنقل الملفات وSplashtop Remote للتنفيذ، متجاوزًا أنظمة الكشف والاستجابة في نقاط النهاية (EDR) التقليدية المركزة على ويندوز.
حصل المهاجمون على الوصول الأولي من خلال صفحات CAPTCHA مزيفة لجوجل المستضافة على Cloudflare R2، والتي سلمت جافا سكريبت مشفرة تؤدي إلى برامج سرقة المعلومات التي حصدت بيانات الاعتماد من خوادم التحكم والقيادة في 45.221.64.245/mot/ و104.164.55.7/231/means.d. مكن هذه الحسابات المسروقة من الحركة الجانبية، مع إجراء الاستطلاع باستخدام أوامر ScreenConnect مثل 'nltest /domain_trusts' و'net group "domain admins" /domain'.
للحفاظ على الاستمرارية، قام Qilin بتثبيت AnyDesk من خلال ATERA RMM وScreenConnect، مقنعًا النشاط كمهام إدارية. اعتمدت التهرب من الدفاعات على تقنيات bring-your-own-vulnerable-driver (BYOVD)، تحميل برامج تشغيل موقعة مثل eskle.sys —التي أعيد استخدامها من مزود ألعاب صيني— وأخرى مثل rwdrv.sys وhlpdrv.sys عبر DLLs محملة جانبيًا مثل msimg32.dll المنفذة بواسطة تطبيقات شرعية مثل FoxitPDFReader.exe. قامت هذه البرامج التشغيلية بفحوصات VM، قتلت العمليات الأمنية، وأنهت أدوات EDR.
كان التركيز الرئيسي هو سرقة بيانات الاعتماد من بنية النسخ الاحتياطي Veeam باستخدام نصوص PowerShell مشفرة بـ Base64 لاستخراج أسماء المستخدمين وكلمات المرور من جداول SQL بما في ذلك Credentials، BackupRepositories، وWinServers. سمح ذلك بالوصول إلى متحكمي النطاق، خوادم Exchange، وقواعد بيانات SQL. امتد الحركة الجانبية إلى مضيفي لينكس عبر ملفات تنفيذية PuTTY المعاد تسميتها مثل test.exe و1.exe للاتصالات SSH.
المشفر اللينكسي، الذي يتطلب كلمة مرور للتشغيل، يضع قائمة بيضاء للعمليات، يحظر امتدادات الملفات، ويستثني الدلائل الأساسية، مع تحديثات تضيف كشف Nutanix AHV. ضمانت وكلاء COROXY SOCKS الموزعين المخفيين في مجلدات لـ Veeam، VMware، Adobe، وUSOShared تحكمًا وقيادة مرنًا.
"هذا الهجوم يتحدى الضوابط الأمنية التقليدية المركزة على ويندوز"، أفادت Trend Micro. "نشر الـ ransomware اللينكسي على أنظمة ويندوز يظهر كيف يتكيف المهاجمون لتجاوز أنظمة الكشف في نقاط النهاية غير المكونة لكشف أو منع ملفات تنفيذية لينكس التنفيذية عبر قنوات الإدارة عن بعد." التكتيك، الذي لاحظته أيضًا Cisco Talos، يؤكد الحاجة إلى الرؤية في أدوات RMM والبيئات الهجينة لمواجهة مثل هذه العمليات ذات الضجيج المنخفض.