Qilin забрал всё: жертв, технику и даже людей — 72 жертвы за месяц и рост, который не остановить

Группировка Qilin, известная также под названием Agenda, возглавила рейтинг самых активных операторов программ-вымогателей в апреле 2025 года, опубликовав данные 72 жертв на своём сайте утечек. По данным Group-IB, это рекордный показатель: с июля 2024 по январь 2025 количество таких публикаций редко превышало 23 в месяц, однако с февраля кривая резко пошла вверх — 48 случаев в феврале, 44 в марте и 45 уже в первые недели апреля.

Главным толчком к усилению активности стало внезапное исчезновение конкурирующей группировки RansomHub, ранее занимавшей второе место по числу атак. После её распада значительное количество аффилированных злоумышленников переметнулось к Qilin, что обеспечило экспоненциальный рост масштабов их операций. По данным Flashpoint, только за год с апреля 2024 по апрель 2025 RansomHub успела поразить 38 организаций в финансовом секторе, прежде чем исчезнуть из поля зрения.

Особенность кампаний Qilin заключается в использовании новой связки вредоносных компонентов: уже известного модуля SmokeLoader и нового .NET-загрузчика, получившего кодовое имя NETXLOADER.

Исследователи Trend Micro подробно изучили NETXLOADER и отметили его ключевую роль в распространении вредоносных программ, включая саму Agenda и SmokeLoader. Этот загрузчик скрытно устанавливает вредоносные модули, защищён от анализа при помощи системы .NET Reactor версии 6 и использует множество обходных техник.

NETXLOADER крайне сложно анализировать: код зашифрован, имена методов неинформативны, а логика исполнения запутана. Используются продвинутые методы сокрытия, такие как JIT-хуки и контролируемая загрузка DLL-библиотек напрямую в память, что делает невозможным статический анализ или поиск по строкам. По сути, без запуска в реальной среде понять, что именно выполняет этот загрузчик, невозможно.

Цепочки атак чаще всего стартуют с фишинга или компрометации реальных учётных записей, после чего на заражённую систему попадает NETXLOADER. Далее он активирует SmokeLoader, который выполняет антианализ, проверки на виртуализацию и отключает процессы из заранее заданного списка. На финальной стадии SmokeLoader связывается с удалённым сервером управления и получает оттуда NETXLOADER, уже загружающий вымогатель Agenda через технику Reflective DLL Loading — подгрузку библиотеки напрямую в память без записи на диск.

Agenda активно применяется для атак на сетевые домены, внешние накопители, хранилища и гипервизоры VCenter ESXi. По наблюдениям Trend Micro, наиболее частыми жертвами становятся организации из здравоохранения, финансового сектора, телекоммуникаций и IT-инфраструктуры в таких странах, как США, Индия, Бразилия, Филиппины и Нидерланды.

По мере роста количества жертв и технической зрелости используемых инструментов Qilin продолжает укреплять позиции как один из самых технологически продвинутых вымогателей на киберпреступной арене.