Kelompok ransomware Qilin terlihat mengeksploitasi Windows Subsystem for Linux (WSL) untuk menjalankan enkriptor berbasis Linux langsung pada sistem Windows, melewati alat keamanan tradisional. Teknik ini memungkinkan malware untuk menghindari deteksi oleh produk deteksi dan respons endpoint (EDR) yang berfokus pada perilaku Windows. Perusahaan keamanan siber Trend Micro dan Cisco Talos merinci metode tersebut dalam penelitian terbaru.
Operasi ransomware Qilin, yang pertama kali muncul sebagai 'Agenda' pada Agustus 2022 dan berganti nama menjadi Qilin pada bulan berikutnya, telah berkembang menjadi salah satu ancaman siber paling aktif di seluruh dunia. Menurut penelitian dari Trend Micro dan Cisco Talos, kelompok tersebut menargetkan lebih dari 700 korban di 62 negara pada tahun 2025, mempublikasikan lebih dari 40 korban baru setiap bulan selama paruh kedua tahun tersebut.
Afiliasi Qilin biasanya menyusup ke jaringan menggunakan alat akses jarak jauh yang sah seperti AnyDesk, ScreenConnect, dan Splashtop, bersama dengan perangkat lunak ekstraksi data seperti Cyberduck dan WinRAR. Mereka juga memanfaatkan utilitas Windows bawaan, termasuk Microsoft Paint (mspaint.exe) dan Notepad (notepad.exe), untuk memindai dokumen untuk informasi sensitif.
Sebelum menyebarkan enkriptor, penyerang menonaktifkan perangkat lunak keamanan melalui taktik Bring Your Own Vulnerable Driver (BYOVD). Mereka menyebarkan driver yang ditandatangani tetapi rentan seperti eskle.sys untuk menghentikan proses antivirus dan EDR, dan menggunakan DLL sideloading untuk menginstal driver kernel seperti rwdrv.sys dan hlpdrv.sys untuk hak istimewa yang ditingkatkan. Alat termasuk 'dark-kill' dan 'HRSword' lebih lanjut menetralkan pertahanan dan menghapus jejak jahat. 'Talos mengamati jejak upaya untuk menonaktifkan EDR menggunakan beberapa metode,' jelas Cisco Talos. 'Secara umum, kami sering mengamati perintah yang langsung menjalankan 'uninstall.exe' EDR atau mencoba menghentikan layanan menggunakan perintah sc. Pada saat yang sama, penyerang juga terlihat menjalankan alat open-source seperti dark-kill dan HRSword.'
Evolusi yang mencolok melibatkan enkriptor Linux Qilin, yang pertama kali dilaporkan pada Desember 2023 untuk menargetkan lingkungan VMware ESXi. Trend Micro mengamati afiliasi mentransfer enkriptor ELF Linux melalui WinSCP dan meluncurkannya melalui SRManager.exe Splashtop pada mesin Windows. Karena biner ELF tidak dapat berjalan secara native di Windows, pelaku mengaktifkan atau menginstal WSL—fitur bawaan untuk menjalankan distribusi Linux di dalam Windows—untuk menjalankan muatan. 'Dalam kasus ini, pelaku ancaman dapat menjalankan enkriptor Linux pada sistem Windows dengan memanfaatkan Windows Subsystem for Linux (WSL), fitur bawaan yang memungkinkan biner Linux dieksekusi secara native di Windows tanpa memerlukan mesin virtual,' kata Trend Micro kepada BleepingComputer. Pendekatan ini mengeksploitasi lingkungan hibrida, karena banyak alat EDR Windows mengabaikan aktivitas WSL, memungkinkan penghindaran yang lebih luas.