كشف باحثو الأمن السيبراني عن تكتيك يستخدمه مجموعة الـ Qilin الابتزازية يستغل نظام ويندوز للـ Linux (WSL) من مايكروسوفت لتنفيذ أدوات التشفير القائمة على لينكس على أجهزة ويندوز. يسمح هذا الطريقة للمهاجمين بتجاوز العديد من أنظمة الكشف والاستجابة لنقاط النهاية (EDR) من خلال العمل في بيئة sandbox لينكس غالباً ما تُهملها الأدوات التقليدية. تبرز هذه التقنية التعقيد المتزايد لعمليات الابتزاز التي تمزج بين أنظمة التشغيل.
اعتمدت مجموعة الـ Qilin الابتزازية نهجاً خفياً من خلال الاستفادة من WSL، وهي ميزة مدمجة في ويندوز مصممة للمطورين لتشغيل بيئات لينكس دون آلات افتراضية. وفقاً لتحليل خبراء الأمن السيبراني في BleepingComputer، يفعل المشغلون WSL باستخدام أوامر بسيطة، ويثبتون توزيعة لينكس مثل Ubuntu، وينشرون أدوات تشفير مصممة للينكس. تعمل هذه الحمولات داخل مساحة لينكس المعزولة، وتصل إلى ملفات ويندوز وتشفرها مع تجنب الكشف من أدوات EDR التي تراقب بشكل أساسي عمليات ويندوز.
ظهرت هذه التكتيك في هجمات حديثة، مع تقارير ظهرت حول 29 أكتوبر 2025. تركز حلول الأمان التقليدية على البرمجيات الضارة الأصلية للويندوز، مما يترك أنظمة لينكس الفرعية غير مفحوصة، كما ذكر في تقرير TechRadar. بمجرد التنشيط، تقفل أدوات التشفير البيانات الحرجة وتترك مذكرات ابتزاز تطالب بدفعات عملات مشفرة، محاكية مذكرات من مجموعات أخرى.
يتطلب WSL فقط صلاحيات إدارية، والتي يحصل عليها المهاجمون غالباً من خلال الاختراقات الأولية مثل التصيد الاحتيالي أو الثغرات، وهي نقاط دخول شائعة في إصدارات ويندوز الحديثة. تسمح هذه الحاجز المنخفض بدمج سلس، مما يخلق نقاط عمياء في بيئات تكنولوجيا المعلومات الهجينة حيث يسيطر ويندوز لكن عناصر لينكس موجودة.
يشير هذا التطور إلى اتجاه أوسع في الابتزاز، مع مجموعات مثل Buhti تكيف كوداً من LockBit وBabuk لاستهداف منصات متعددة. تقرر شركات الأمن السيبراني زيادة في مثل هذه الهجمات عبر أنظمة التشغيل، مما يعقد كشف التهديدات. للتخفيف، ينصح الخبراء بتعزيز مراقبة WSL، وفرض صلاحيات أقل، وتطبيق تصحيحات منتظمة، واستخدام تحليلات سلوكية لكشف الشذوذ مثل تثبيتات لينكس غير متوقعة.
مع اندماج أنظمة التشغيل من خلال ميزات مثل WSL، يجب على المنظمات تبني إجراءات أمان موحدة. الفشل في معالجة هذه الفجوات قد يؤدي إلى المزيد من الاختراقات غير المكتشفة في الشبكات الشركاتية.