Kelompok ransomware Qilin, juga dikenal sebagai Agenda, telah mengembangkan serangan hibrida menggunakan muatan Linux pada host Windows untuk menghindari deteksi. Dengan menyalahgunakan alat manajemen jarak jauh yang sah dan mengeksploitasi driver rentan, penyerang menonaktifkan pertahanan dan menargetkan cadangan. Taktik lintas-platform ini menyoroti kecanggihan ransomware yang berkembang.
Operasi ransomware Qilin, aktif sejak 2022, telah muncul sebagai salah satu kelompok ransomware-as-a-service paling produktif pada 2025, mengklaim lebih dari 40 korban bulanan dan mencapai puncak 100 pada Juni, menurut analisis Trend Micro. Dalam kampanye terbaru yang dirinci oleh peneliti keamanan, Qilin menyebarkan biner ransomware Linux pada sistem Windows melalui alat tepercaya seperti WinSCP untuk transfer file dan Splashtop Remote untuk eksekusi, melewati sistem deteksi dan respons endpoint (EDR) tradisional yang berfokus pada Windows.
Penyerang mendapatkan akses awal melalui halaman CAPTCHA Google palsu yang dihosting di Cloudflare R2, yang mengirimkan JavaScript yang diobfuskasi yang mengarah ke pencuri informasi yang memanen kredensial dari server command-and-control di 45.221.64.245/mot/ dan 104.164.55.7/231/means.d. Akun curian ini memungkinkan pergerakan lateral, dengan pengintaian dilakukan menggunakan perintah ScreenConnect seperti 'nltest /domain_trusts' dan 'net group "domain admins" /domain'.
Untuk mempertahankan persistensi, Qilin menginstal AnyDesk melalui ATERA RMM dan ScreenConnect, menyamarkan aktivitas sebagai tugas administratif. Penghindaran pertahanan bergantung pada teknik bring-your-own-vulnerable-driver (BYOVD), memuat driver yang ditandatangani seperti eskle.sys—yang diambil kembali dari vendor game China—dan lainnya seperti rwdrv.sys dan hlpdrv.sys melalui DLL yang dimuat secara samping seperti msimg32.dll yang dieksekusi oleh aplikasi sah seperti FoxitPDFReader.exe. Driver ini melakukan pemeriksaan VM, membunuh proses keamanan, dan mengakhiri alat EDR.
Fokus utama adalah pencurian kredensial dari infrastruktur cadangan Veeam menggunakan skrip PowerShell yang dikodekan Base64 untuk mengekstrak nama pengguna dan kata sandi dari tabel SQL termasuk Credentials, BackupRepositories, dan WinServers. Ini memungkinkan akses ke pengontrol domain, server Exchange, dan basis data SQL. Pergerakan lateral meluas ke host Linux melalui biner PuTTY yang dinamai ulang seperti test.exe dan 1.exe untuk koneksi SSH.
Enkriptor Linux, yang memerlukan kata sandi untuk dijalankan, membuat daftar putih proses, memblokir ekstensi file, dan mengecualikan direktori inti, dengan pembaruan menambahkan deteksi Nutanix AHV. Proxy SOCKS COROXY yang didistribusikan tersembunyi di folder untuk Veeam, VMware, Adobe, dan USOShared memastikan command-and-control yang tangguh.
"Serangan ini menantang kontrol keamanan tradisional yang berfokus pada Windows," lapor Trend Micro. "Penyebaran ransomware Linux pada sistem Windows menunjukkan bagaimana aktor ancaman beradaptasi untuk melewati sistem deteksi endpoint yang tidak dikonfigurasi untuk mendeteksi atau mencegah biner Linux yang dieksekusi melalui saluran manajemen jarak jauh." Taktik ini, juga dicatat oleh Cisco Talos, menekankan kebutuhan visibilitas ke alat RMM dan lingkungan hibrida untuk melawan operasi rendah-noise seperti itu.
