O grupo de ransomware Qilin foi observado explorando o Subsistema do Windows para Linux (WSL) para executar encriptadores baseados em Linux diretamente em sistemas Windows, contornando ferramentas de segurança tradicionais. Essa técnica permite que o malware evite detecção por produtos de detecção e resposta de endpoint (EDR) focados em comportamentos do Windows. As empresas de cibersegurança Trend Micro e Cisco Talos detalharam o método em pesquisas recentes.
A operação de ransomware Qilin, que surgiu pela primeira vez como 'Agenda' em agosto de 2022 e foi renomeada para Qilin no mês seguinte, cresceu para se tornar uma das ameaças cibernéticas mais ativas em todo o mundo. De acordo com pesquisas da Trend Micro e Cisco Talos, o grupo visou mais de 700 vítimas em 62 países em 2025, publicando mais de 40 novas vítimas mensalmente durante a segunda metade do ano.
Afiliados do Qilin geralmente invadem redes usando ferramentas legítimas de acesso remoto, como AnyDesk, ScreenConnect e Splashtop, junto com software de exfiltração de dados como Cyberduck e WinRAR. Eles também utilizam utilitários integrados do Windows, incluindo Microsoft Paint (mspaint.exe) e Notepad (notepad.exe), para escanear documentos em busca de informações sensíveis.
Antes de implantar encriptadores, os atacantes desativam o software de segurança por meio de táticas Bring Your Own Vulnerable Driver (BYOVD). Eles implantam drivers assinados, mas vulneráveis, como eskle.sys, para terminar processos de antivírus e EDR, e usam DLL sideloading para instalar drivers de kernel como rwdrv.sys e hlpdrv.sys para privilégios elevados. Ferramentas como 'dark-kill' e 'HRSword' neutralizam ainda mais as defesas e apagam rastros maliciosos. 'A Talos observou rastros de tentativas de desativar o EDR usando múltiplos métodos', explicou a Cisco Talos. 'De forma ampla, observamos frequentemente comandos que executam diretamente o 'uninstall.exe' do EDR ou tentam parar serviços usando o comando sc. Ao mesmo tempo, os atacantes também foram observados executando ferramentas de código aberto como dark-kill e HRSword.'
Uma evolução notável envolve o encriptador Linux do Qilin, relatado pela primeira vez em dezembro de 2023 para atacar ambientes VMware ESXi. A Trend Micro observou afiliados transferindo o encriptador ELF Linux via WinSCP e lançando-o através do SRManager.exe do Splashtop em máquinas Windows. Como os binários ELF não podem ser executados nativamente no Windows, os atores habilitam ou instalam o WSL — um recurso integrado para executar distribuições Linux dentro do Windows — para executar a carga. 'Neste caso, os atores de ameaça foram capazes de executar o encriptador Linux em sistemas Windows aproveitando o Subsistema do Windows para Linux (WSL), um recurso integrado que permite que binários Linux sejam executados nativamente no Windows sem a necessidade de uma máquina virtual', disse a Trend Micro ao BleepingComputer. Essa abordagem explora ambientes híbridos, pois muitas ferramentas EDR do Windows ignoram a atividade do WSL, permitindo uma evasão mais ampla.