В апреле 2025 года группировка Qilin (также известная как Agenda) заняла лидирующую позицию среди операторов программ-вымогателей, проведя 45 успешных атак в первые недели месяца. Этот показатель превзошел активность других известных группировок, включая Akira, Play и Lynx.

Qilin впервые появилась на киберпреступной сцене в июле 2022 года. Недавно компания Halcyon обнаружила новую версию вредоносного ПО – Qilin.B, что свидетельствует о постоянном развитии инструментария группировки. Анализ статистики показывает значительный рост активности Qilin в 2025 году: если в период с июля 2024 по январь 2025 года ежемесячное количество жертв не превышало 23 компании, то в феврале 2025 года было зафиксировано 48 случаев компрометации, в марте – 44.
Второе место по активности занимает группировка RansomHub, атаковавшая 38 организаций финансового сектора в период с апреля 2024 по апрель 2025 года. Основными целями Qilin в первом квартале 2025 года стали компании из сферы здравоохранения, технологий, финансовых услуг и телекоммуникаций. Географически атаки сконцентрированы на организациях из США, Нидерландов, Бразилии, Индии и Филиппин.
Ключевым инструментом в арсенале Qilin является загрузчик NETXLOADER, обнаруженный в ноябре 2024 года. Этот.NET-базированный загрузчик защищен с Reactor версии 6, что существенно затрудняет его анализ. Исследование NETXLOADER было проведено командой Trend Micro, в состав которой вошли Джейкоб Сантос, Реймарт Ямбот, Джон Райнер Навато, Сара Перл Камилинг и Нельджорн Натаниэль Агуас.
NETXLOADER отличается высокой степенью обфускации кода. Он получает вредоносные полезные нагрузки с внешних серверов, таких как "bloglake7[.]cfd", и затем развертывает SmokeLoader и программу-вымогатель Agenda. Для обхода средств защиты NETXLOADER использует технику JIT-хукинга, применяет бессмысленные имена методов и внедряет обфускацию потока управления, что делает его устойчивым к анализу на основе строк.
Цепочка атаки Qilin начинается с получения первоначального доступа через скомпрометированные учетные записи или фишинг. После этого происходит развертывание NETXLOADER, который в свою очередь доставляет SmokeLoader. Последний проводит проверки на виртуализацию и наличие песочницы, завершает работу жестко закодированных процессов и устанавливает связь с командным центром для получения NETXLOADER. Финальным этапом является развертывание программы-вымогателя Agenda через рефлексивную загрузку DLL.
Вредоносное ПО Agenda специализируется на атаках доменных сетей, подключенных устройств, систем хранения данных и VCenter ESXi. Такой широкий спектр целей позволяет группировке Qilin эффективно компрометировать корпоративные инфраструктуры и максимизировать ущерб для жертв, увеличивая вероятность получения выкупа.

Изображение носит иллюстративный характер
Qilin впервые появилась на киберпреступной сцене в июле 2022 года. Недавно компания Halcyon обнаружила новую версию вредоносного ПО – Qilin.B, что свидетельствует о постоянном развитии инструментария группировки. Анализ статистики показывает значительный рост активности Qilin в 2025 году: если в период с июля 2024 по январь 2025 года ежемесячное количество жертв не превышало 23 компании, то в феврале 2025 года было зафиксировано 48 случаев компрометации, в марте – 44.
Второе место по активности занимает группировка RansomHub, атаковавшая 38 организаций финансового сектора в период с апреля 2024 по апрель 2025 года. Основными целями Qilin в первом квартале 2025 года стали компании из сферы здравоохранения, технологий, финансовых услуг и телекоммуникаций. Географически атаки сконцентрированы на организациях из США, Нидерландов, Бразилии, Индии и Филиппин.
Ключевым инструментом в арсенале Qilin является загрузчик NETXLOADER, обнаруженный в ноябре 2024 года. Этот.NET-базированный загрузчик защищен с Reactor версии 6, что существенно затрудняет его анализ. Исследование NETXLOADER было проведено командой Trend Micro, в состав которой вошли Джейкоб Сантос, Реймарт Ямбот, Джон Райнер Навато, Сара Перл Камилинг и Нельджорн Натаниэль Агуас.
NETXLOADER отличается высокой степенью обфускации кода. Он получает вредоносные полезные нагрузки с внешних серверов, таких как "bloglake7[.]cfd", и затем развертывает SmokeLoader и программу-вымогатель Agenda. Для обхода средств защиты NETXLOADER использует технику JIT-хукинга, применяет бессмысленные имена методов и внедряет обфускацию потока управления, что делает его устойчивым к анализу на основе строк.
Цепочка атаки Qilin начинается с получения первоначального доступа через скомпрометированные учетные записи или фишинг. После этого происходит развертывание NETXLOADER, который в свою очередь доставляет SmokeLoader. Последний проводит проверки на виртуализацию и наличие песочницы, завершает работу жестко закодированных процессов и устанавливает связь с командным центром для получения NETXLOADER. Финальным этапом является развертывание программы-вымогателя Agenda через рефлексивную загрузку DLL.
Вредоносное ПО Agenda специализируется на атаках доменных сетей, подключенных устройств, систем хранения данных и VCenter ESXi. Такой широкий спектр целей позволяет группировке Qilin эффективно компрометировать корпоративные инфраструктуры и максимизировать ущерб для жертв, увеличивая вероятность получения выкупа.