لقد لوحظت مجموعة برمجيات الفدية Qilin وهي تستغل نظام ويندوز الفرعي للينكس (WSL) لتنفيذ مشفرات تعتمد على لينكس مباشرة على أنظمة ويندوز، متجاوزة أدوات الأمان التقليدية. تسمح هذه التقنية للبرمجية الضارة بتجنب الكشف من قبل منتجات كشف واستجابة نقاط النهاية (EDR) التي تركز على سلوكيات ويندوز. وصف شركتا الأمن السيبراني Trend Micro وCisco Talos الطريقة في بحوث حديثة.
عملية برمجيات الفدية Qilin، التي ظهرت لأول مرة كـ'Agenda' في أغسطس 2022 وأعادت تسميتها إلى Qilin في الشهر التالي، نمت لتصبح واحدة من أكثر التهديدات السيبرانية نشاطًا على مستوى العالم. وفقًا لبحوث من Trend Micro وCisco Talos، استهدفت المجموعة أكثر من 700 ضحية عبر 62 دولة في عام 2025، ناشرة أكثر من 40 ضحية جديدة شهريًا خلال النصف الثاني من العام.
عادةً ما يخترق التابعون لـQilin الشبكات باستخدام أدوات الوصول عن بعد الشرعية مثل AnyDesk وScreenConnect وSplashtop، إلى جانب برمجيات استخراج البيانات مثل Cyberduck وWinRAR. كما يستفيدون من أدوات ويندوز المدمجة، بما في ذلك Microsoft Paint (mspaint.exe) وNotepad (notepad.exe)، لفحص الوثائق بحثًا عن معلومات حساسة.
قبل نشر المشفرات، يقوم المهاجمون بتعطيل برمجيات الأمان من خلال تكتيكات Bring Your Own Vulnerable Driver (BYOVD). ينشرون برامج تشغيل موقعة ولكنها عرضة للخطر مثل eskle.sys لإنهاء عمليات مكافحة الفيروسات وEDR، ويستخدمون DLL sideloading لتثبيت برامج تشغيل النواة مثل rwdrv.sys وhlpdrv.sys للحصول على امتيازات مرتفعة. أدوات مثل 'dark-kill' و'HRSword' تحيد الدفاعات بشكل إضافي وتمحو الآثار الضارة. 'لقد لوحظت Talos آثار محاولات تعطيل EDR باستخدام طرق متعددة'، شرحت Cisco Talos. 'بشكل عام، لقد لوحظنا بشكل متكرر أوامر تنفذ مباشرة 'uninstall.exe' الخاص بـEDR أو تحاول إيقاف الخدمات باستخدام أمر sc. في الوقت نفسه، لوحظ أيضًا مهاجمون يشغلون أدوات مفتوحة المصدر مثل dark-kill وHRSword.'
تطور ملحوظ يتعلق بمشفر لينكس الخاص بـQilin، الذي تم الإبلاغ عنه لأول مرة في ديسمبر 2023 لاستهداف بيئات VMware ESXi. لوحظت Trend Micro التابعين ينقلون مشفر ELF للينكس عبر WinSCP ويطلقونه من خلال SRManager.exe الخاص بـSplashtop على آلات ويندوز. بما أن الثنائيات ELF لا يمكن تشغيلها بشكل أصلي على ويندوز، يقوم الجهة المنفذة بتمكين أو تثبيت WSL —ميزة مدمجة لتشغيل توزيعات لينكس داخل ويندوز— لتنفيذ الحمولة. 'في هذه الحالة، تمكن الجهة المنفذة للتهديد من تشغيل مشفر لينكس على أنظمة ويندوز من خلال الاستفادة من نظام ويندوز الفرعي للينكس (WSL)، ميزة مدمجة تسمح للثنائيات لينكس بالتنفيذ بشكل أصلي على ويندوز دون الحاجة إلى آلة افتراضية'، أخبرت Trend Micro موقع BleepingComputer. يستغل هذا النهج البيئات الهجينة، حيث تتجاهل العديد من أدوات EDR في ويندوز نشاط WSL، مما يمكن من التهرب الأوسع.