Qilin ransomware-gruppen har observerats utnyttja Windows Subsystem for Linux (WSL) för att köra Linux-baserade krypterare direkt på Windows-system, och kringgå traditionella säkerhetsverktyg. Denna teknik gör det möjligt för skadlig kod att undvika upptäckt av endpointdetektering och respons (EDR)-produkter som fokuserar på Windows-beteenden. Cybersäkerhetsföretagen Trend Micro och Cisco Talos beskrev metoden i nylig forskning.
Qilin ransomware-operationen, som först dök upp som 'Agenda' i augusti 2022 och bytte namn till Qilin månaden efter, har vuxit till en av de mest aktiva cyberhoten globalt. Enligt forskning från Trend Micro och Cisco Talos riktade sig gruppen mot över 700 offer i 62 länder under 2025, och publicerade mer än 40 nya offer månadsvis under andra halvan av året.
Qilins affiliates tränger vanligtvis in i nätverk med legitima fjärråtkomstverktyg som AnyDesk, ScreenConnect och Splashtop, tillsammans med dataexfiltreringsprogram som Cyberduck och WinRAR. De utnyttjar också inbyggda Windows-verktyg, inklusive Microsoft Paint (mspaint.exe) och Notepad (notepad.exe), för att skanna dokument efter känslig information.
Innan de distribuerar krypterare inaktiverar angripare säkerhetsprogramvara genom Bring Your Own Vulnerable Driver (BYOVD)-taktiker. De distribuerar signerade men sårbara drivrutiner som eskle.sys för att avsluta antivirus- och EDR-processer, och använder DLL sideloading för att installera kärndrivrutiner som rwdrv.sys och hlpdrv.sys för förhöjda privilegier. Verktyg som 'dark-kill' och 'HRSword' neutraliserar ytterligare försvar och raderar skadliga spår. 'Talos observerade spår av försök att inaktivera EDR med flera metoder', förklarade Cisco Talos. 'I stora drag har vi ofta observerat kommandon som direkt kör EDR:s 'uninstall.exe' eller försöker stoppa tjänster med sc-kommandot. Samtidigt har angripare också observerats köra open source-verktyg som dark-kill och HRSword.'
En anmärkningsvärd utveckling involverar Qilins Linux-krypterare, som först rapporterades i december 2023 för att riktas mot VMware ESXi-miljöer. Trend Micro observerade affiliates som överförde Linux ELF-krypteraren via WinSCP och startade den genom Splashtops SRManager.exe på Windows-maskiner. Eftersom ELF-binärer inte kan köras nativt på Windows aktiverar eller installerar aktörerna WSL — en inbyggd funktion för att köra Linux-distributioner inom Windows — för att exekvera nyttolasten. 'I det här fallet kunde hotaktörerna köra Linux-krypteraren på Windows-system genom att utnyttja Windows Subsystem for Linux (WSL), en inbyggd funktion som tillåter Linux-binärer att exekveras nativt på Windows utan att kräva en virtuell maskin', sade Trend Micro till BleepingComputer. Detta tillvägagångssätt utnyttjar hybridmiljöer, eftersom många Windows EDR-verktyg förbiser WSL-aktivitet och möjliggör bredare undvikande.