Le groupe de ransomware Qilin, également connu sous le nom d'Agenda, a développé une attaque hybride utilisant des charges utiles Linux sur des hôtes Windows pour échapper à la détection. En abusant d'outils légitimes de gestion à distance et en exploitant des pilotes vulnérables, les attaquants désactivent les défenses et ciblent les sauvegardes. Cette tactique multiplateforme met en lumière l'évolution de la sophistication des ransomwares.
L'opération de ransomware Qilin, active depuis 2022, est devenue l'un des groupes ransomware-as-a-service les plus prolifiques en 2025, revendiquant plus de 40 victimes par mois et atteignant un pic de 100 en juin, selon l'analyse de Trend Micro. Dans une campagne récente détaillée par des chercheurs en sécurité, Qilin a déployé un binaire ransomware Linux sur des systèmes Windows via des outils fiables comme WinSCP pour le transfert de fichiers et Splashtop Remote pour l'exécution, contournant les systèmes traditionnels de détection et de réponse aux points d'extrémité (EDR) centrés sur Windows.
Les attaquants ont obtenu un accès initial via de fausses pages CAPTCHA Google hébergées sur Cloudflare R2, qui ont livré du JavaScript obfuscé menant à des voleurs d'informations qui ont récolté des identifiants à partir de serveurs de commande et de contrôle à 45.221.64.245/mot/ et 104.164.55.7/231/means.d. Ces comptes volés ont permis un mouvement latéral, avec une reconnaissance effectuée à l'aide de commandes ScreenConnect telles que 'nltest /domain_trusts' et 'net group "domain admins" /domain'.
Pour maintenir la persistance, Qilin a installé AnyDesk via ATERA RMM et ScreenConnect, déguisant l'activité en tâches administratives. L'évasion des défenses s'est appuyée sur des techniques bring-your-own-vulnerable-driver (BYOVD), chargeant des pilotes signés comme eskle.sys —réutilisé d'un fournisseur de jeux chinois— et d'autres comme rwdrv.sys et hlpdrv.sys via des DLL chargées latéralement comme msimg32.dll exécutées par des applications légitimes comme FoxitPDFReader.exe. Ces pilotes ont effectué des vérifications VM, tué des processus de sécurité et terminé des outils EDR.
Un focus clé était le vol de credentials de l'infrastructure de sauvegarde Veeam en utilisant des scripts PowerShell encodés en Base64 pour extraire des noms d'utilisateur et des mots de passe de tables SQL incluant Credentials, BackupRepositories et WinServers. Cela a permis l'accès aux contrôleurs de domaine, serveurs Exchange et bases de données SQL. Le mouvement latéral s'est étendu à des hôtes Linux via des binaires PuTTY renommés comme test.exe et 1.exe pour des connexions SSH.
L'encryptor Linux, nécessitant un mot de passe pour s'exécuter, met en liste blanche les processus, bloque les extensions de fichiers et exclut les répertoires principaux, avec des mises à jour ajoutant la détection Nutanix AHV. Des proxies SOCKS COROXY distribués cachés dans des dossiers pour Veeam, VMware, Adobe et USOShared ont assuré un commandement et contrôle résilient.
« Cette attaque défie les contrôles de sécurité traditionnels centrés sur Windows », a rapporté Trend Micro. « Le déploiement de ransomware Linux sur des systèmes Windows montre comment les acteurs de menaces s'adaptent pour contourner les systèmes de détection aux points d'extrémité non configurés pour détecter ou empêcher l'exécution de binaires Linux via des canaux de gestion à distance. » Cette tactique, également notée par Cisco Talos, souligne la nécessité de visibilité dans les outils RMM et les environnements hybrides pour contrer de telles opérations à faible bruit.