Le groupe de ransomware Qilin a été observé exploitant le Sous-système Windows pour Linux (WSL) pour exécuter des chiffreurs basés sur Linux directement sur des systèmes Windows, contournant les outils de sécurité traditionnels. Cette technique permet au malware d'échapper à la détection par les produits de détection et de réponse aux points de terminaison (EDR) axés sur les comportements Windows. Les entreprises de cybersécurité Trend Micro et Cisco Talos ont détaillé la méthode dans des recherches récentes.
L'opération de ransomware Qilin, qui est apparue pour la première fois sous le nom d'« Agenda » en août 2022 et a été renommée Qilin le mois suivant, s'est développée pour devenir l'une des menaces cybernétiques les plus actives au monde. Selon des recherches de Trend Micro et Cisco Talos, le groupe a ciblé plus de 700 victimes dans 62 pays en 2025, publiant plus de 40 nouvelles victimes par mois pendant la seconde moitié de l'année.
Les affiliés de Qilin infiltrent généralement les réseaux en utilisant des outils légitimes d'accès à distance comme AnyDesk, ScreenConnect et Splashtop, ainsi que des logiciels d'exfiltration de données tels que Cyberduck et WinRAR. Ils exploitent également des utilitaires intégrés à Windows, y compris Microsoft Paint (mspaint.exe) et Notepad (notepad.exe), pour scanner des documents à la recherche d'informations sensibles.
Avant de déployer des chiffreurs, les attaquants désactivent les logiciels de sécurité par des tactiques Bring Your Own Vulnerable Driver (BYOVD). Ils déploient des pilotes signés mais vulnérables comme eskle.sys pour terminer les processus antivirus et EDR, et utilisent le DLL sideloading pour installer des pilotes kernel tels que rwdrv.sys et hlpdrv.sys pour des privilèges élevés. Des outils comme « dark-kill » et « HRSword » neutralisent davantage les défenses et effacent les traces malveillantes. « Talos a observé des traces de tentatives de désactivation de l'EDR en utilisant plusieurs méthodes », a expliqué Cisco Talos. « De manière générale, nous avons fréquemment observé des commandes qui exécutent directement le 'uninstall.exe' de l'EDR ou tentent d'arrêter les services en utilisant la commande sc. En même temps, les attaquants ont également été observés en train d'exécuter des outils open-source tels que dark-kill et HRSword. »
Une évolution notable concerne le chiffreur Linux de Qilin, signalé pour la première fois en décembre 2023 pour cibler des environnements VMware ESXi. Trend Micro a observé des affiliés transférant le chiffreur ELF Linux via WinSCP et le lançant via SRManager.exe de Splashtop sur des machines Windows. Comme les binaires ELF ne peuvent pas s'exécuter nativement sur Windows, les acteurs activent ou installent WSL — une fonctionnalité intégrée pour exécuter des distributions Linux au sein de Windows — pour exécuter la charge utile. « Dans ce cas, les acteurs de menace ont pu exécuter le chiffreur Linux sur des systèmes Windows en tirant parti du Sous-système Windows pour Linux (WSL), une fonctionnalité intégrée qui permet aux binaires Linux de s'exécuter nativement sur Windows sans nécessiter une machine virtuelle », a déclaré Trend Micro à BleepingComputer. Cette approche exploite les environnements hybrides, car de nombreux outils EDR Windows ignorent l'activité WSL, permettant une évasion plus large.