Qilin ransomware-gruppen, även känd som Agenda, har utvecklat en hybridattack som använder Linux-laster på Windows-värdar för att undvika detektion. Genom att missbruka legitima fjärrhanteringsverktyg och utnyttja sårbara drivrutiner inaktiverar angripare försvar och riktar in sig på säkerhetskopior. Denna plattformsövergripande taktik belyser den utvecklande sofistikeringen hos ransomware.
Qilin ransomware-operationen, aktiv sedan 2022, har framträtt som en av de mest produktiva ransomware-as-a-service-grupperna 2025, med över 40 offer per månad och en topp på 100 i juni, enligt Trend Micros analys. I en nylig kampanj som detaljerats av säkerhetsforskare distribuerade Qilin en Linux ransomware-binär på Windows-system via betrodda verktyg som WinSCP för filöverföring och Splashtop Remote för exekvering, och kringgick traditionella Windows-fokuserade endpointdetektering- och svarssystem (EDR).
Angripare fick initial tillgång genom falska Google CAPTCHA-sidor värdade på Cloudflare R2, som levererade oförklarlig JavaScript som ledde till info-stöldverktyg som skördade autentiseringsuppgifter från kommandol- och kontrollservrar på 45.221.64.245/mot/ och 104.164.55.7/231/means.d. Dessa stulna konton möjliggjorde laterell rörelse, med rekognosering utförd med ScreenConnect-kommandon som 'nltest /domain_trusts' och 'net group "domain admins" /domain'.
För att upprätthålla persistens installerade Qilin AnyDesk via ATERA RMM och ScreenConnect, och maskerade aktiviteten som administrativa uppgifter. Försvarsundvikande byggde på bring-your-own-vulnerable-driver (BYOVD)-tekniker, som laddade signerade drivrutiner som eskle.sys —återanvända från en kinesisk spel leverantör— och andra som rwdrv.sys och hlpdrv.sys via sidoladdade DLL:er som msimg32.dll exekverade av legitima appar som FoxitPDFReader.exe. Dessa drivrutiner utförde VM-kontroller, dödade säkerhetsprocesser och avslutade EDR-verktyg.
Ett nyckelfokus var stöld av autentiseringsuppgifter från Veeam backup-infrastruktur med Base64-kodade PowerShell-skript för att extrahera användarnamn och lösenord från SQL-tabeller inklusive Credentials, BackupRepositories och WinServers. Detta tillät tillgång till domänkontrollanter, Exchange-servrar och SQL-databaser. Laterell rörelse utvidgades till Linux-värdar via omdöpta PuTTY-binärer som test.exe och 1.exe för SSH-anslutningar.
Linux-krypteraren, som kräver ett lösenord för att köras, vitlistar processer, blockerar filändelser och utesluter kärnkataloger, med uppdateringar som lägger till Nutanix AHV-detektion. Distribuerade COROXY SOCKS-proxyer dolda i mappar för Veeam, VMware, Adobe och USOShared säkerställde resilient kommandol- och kontroll.
"Denna attack utmanar traditionella Windows-fokuserade säkerhetskontroller," rapporterade Trend Micro. "Distribueringen av Linux ransomware på Windows-system visar hur hotaktörer anpassar sig för att kringgå endpointdetekteringssystem som inte är konfigurerade för att detektera eller förhindra Linux-binärer som exekveras genom fjärrhanteringskanaler." Taktiken, som också noteras av Cisco Talos, understryker behovet av synlighet i RMM-verktyg och hybridmiljöer för att motverka sådana lågbrusoperationer.
