O grupo de ransomware Qilin, também conhecido como Agenda, desenvolveu um ataque híbrido usando cargas úteis de Linux em hosts Windows para evadir a detecção. Ao abusar de ferramentas legítimas de gerenciamento remoto e explorar drivers vulneráveis, os atacantes desabilitam defesas e visam backups. Essa tática multiplataforma destaca a sofisticação evolutiva do ransomware.
A operação de ransomware Qilin, ativa desde 2022, emergiu como um dos grupos de ransomware-as-a-service mais prolíficos em 2025, reivindicando mais de 40 vítimas mensais e atingindo o pico de 100 em junho, de acordo com a análise da Trend Micro. Em uma campanha recente detalhada por pesquisadores de segurança, o Qilin implantou um binário de ransomware Linux em sistemas Windows por meio de ferramentas confiáveis como WinSCP para transferência de arquivos e Splashtop Remote para execução, contornando sistemas tradicionais de detecção e resposta em endpoints (EDR) focados no Windows.
Os atacantes obtiveram acesso inicial por meio de páginas falsas de CAPTCHA do Google hospedadas no Cloudflare R2, que entregaram JavaScript ofuscado levando a ladrões de informações que colheram credenciais de servidores de comando e controle em 45.221.64.245/mot/ e 104.164.55.7/231/means.d. Essas contas roubadas permitiram movimento lateral, com reconhecimento realizado usando comandos do ScreenConnect como 'nltest /domain_trusts' e 'net group "domain admins" /domain'.
Para manter a persistência, o Qilin instalou o AnyDesk por meio do ATERA RMM e ScreenConnect, disfarçando a atividade como tarefas administrativas. A evasão de defesas dependeu de técnicas bring-your-own-vulnerable-driver (BYOVD), carregando drivers assinados como eskle.sys —reutilizado de um fornecedor de jogos chinês— e outros como rwdrv.sys e hlpdrv.sys via DLLs carregadas lateralmente como msimg32.dll executadas por aplicativos legítimos como FoxitPDFReader.exe. Esses drivers realizaram verificações de VM, mataram processos de segurança e encerraram ferramentas EDR.
Um foco chave foi o roubo de credenciais da infraestrutura de backup Veeam usando scripts PowerShell codificados em Base64 para extrair nomes de usuário e senhas de tabelas SQL incluindo Credentials, BackupRepositories e WinServers. Isso permitiu acesso a controladores de domínio, servidores Exchange e bancos de dados SQL. O movimento lateral se estendeu a hosts Linux via binários PuTTY renomeados como test.exe e 1.exe para conexões SSH.
O encriptador Linux, que requer uma senha para executar, lista processos em branco, bloqueia extensões de arquivos e exclui diretórios principais, com atualizações adicionando detecção Nutanix AHV. Proxies SOCKS COROXY distribuídos escondidos em pastas para Veeam, VMware, Adobe e USOShared garantiram comando e controle resiliente.
"Este ataque desafia os controles de segurança tradicionais focados no Windows," relatou a Trend Micro. "A implantação de ransomware Linux em sistemas Windows demonstra como os atores de ameaças estão se adaptando para contornar sistemas de detecção em endpoints não configurados para detectar ou prevenir binários Linux executados por canais de gerenciamento remoto." A tática, também notada pela Cisco Talos, ressalta a necessidade de visibilidade em ferramentas RMM e ambientes híbridos para combater tais operações de baixo ruído.