Barracuda full logo

Le ransomware Qilin est en pleine expansion… mais pour combien de temps ?

Thèmes:
18 juil. 2025
|
Christine Barry

Introduction au ransomware Qilin

Qilin est une opération de ransomware-as-a-service (RaaS), probablement basée en Russie ou dans d’autres États post-soviétiques. Cette organisation a des affiliés partout dans le monde et représente désormais une menace mondiale majeure. 

Un « Qilin » est une créature mythique profondément enracinée dans les cultures chinoise, coréenne, japonaise et vietnamienne, généralement associée à la paix, à la prospérité, à la justice et à la protection. C’est un choix de marque idéal pour un groupe cybercriminel, car l’image évoque une créature impressionnante rappelant un dragon, et les affiliés peuvent ainsi se voir comme l’incarnation de ces valeurs nobles. Quand on est criminel dans la sphère du ransomware, il n’y a que des avantages à prétendre agir au nom de la paix et de la justice, ou à se présenter comme un justicier puissant. 

Qilin, la créature

Figure de Qilin (Kylin, Kirin) sur le toit d’un temple en Chine

Ce rebranding ne change rien au fait que les opérateurs et affiliés de Qilin veulent simplement votre argent. Ils ont prétendu le contraire dans au moins une attaque, mais nous y reviendrons plus tard. 

L’histoire de Qilin

Les chercheurs ont commencé à observer l’activité de Qilin dès juillet 2022, lorsqu’un acteur malveillant utilisant le pseudonyme « Qilin » s’est mis à faire la promotion du ransomware « Agenda » sur les forums de hacking RAMP et XSS. Qilin publie alors les noms de plusieurs victimes présumées sur le site de fuite de données lié à Agenda jusqu’en septembre 2022, moment auquel l’opération est renommée Qilin. 

Ce changement de nom coïncide avec la sortie d’une nouvelle variante du ransomware, développée en Rust. Cette nouvelle version offre des améliorations techniques en matière d’efficacité, de furtivité et d’évasion des détections par rapport à la version originale en Golang. En février 2023, Qilin opère pleinement comme un RaaS, proposant des fichiers binaires multiplateformes prenant en charge à la fois le chiffrement et l’exfiltration de données.

Post de recrutement Qilin

Post de recrutement d’affiliés Qilin, via SOCRadar

Aujourd’hui, Qilin est surtout connu pour ses attaques agressives, ses rançons élevées et sa croissance rapide.

Comme pour de nombreux autres groupes, la localisation exacte du noyau dur des opérateurs de Qilin reste incertaine. Les indices pointent vers la Russie ou vers un autre pays membre de la Communauté des États indépendants (CEI). Qilin semble opérer au sein des réseaux cybercriminels d’Europe de l’Est :

  • Language kill switch : le ransomware Qilin inclut souvent un code empêchant son exécution sur les systèmes configurés en russe ou dans d’autres langues d’Europe de l’Est, pour éviter de frapper son propre territoire.
  • Heures d’activité : l’analyse des horaires d’attaques correspond parfois aux horaires de bureau de cette région.
  • Recrutement d’affiliés : Qilin et ses affiliés recrutent principalement sur des forums russophones ou à forte audience post-soviétique.

À noter : le terme « réseaux cybercriminels d’Europe de l’Est » n’est pas une désignation officielle dans l’industrie de la cybersécurité, mais plutôt une expression utilisée par les forces de l’ordre et les chercheurs pour désigner des activités cybercriminelles ayant cette origine géographique.

Il n’existe aucune preuve que Qilin soit lié à un État-nation. Il est plus probable que le groupe bénéficie d’un « statut toléré par l’État », quel que soit son lieu d’ancrage. Et malgré le branding et une courte phase d’activité sous le nom de Moonstone Sleet, il n’existe aucune preuve d’un lien entre Qilin et la Chine ou d’autres pays asiatiques. Les principaux opérateurs du groupe restent inconnus ou non divulgués, bien qu’on pense qu’il s’agisse de développeurs de RaaS expérimentés russophones.

Qilin et ses amis

Qilin est principalement connu comme un rebranding d’Agenda, et rien n’indique un nouveau changement de nom ou une nouvelle branche dans l’arbre généalogique de Qilin. Il existe des similarités de code entre Qilin et d’autres groupes comme Black Basta, Black Matter et REvil, mais pas suffisamment fortes pour établir un lien clair entre eux. Ces similitudes sont attribuées à des échanges de ressources de développement entre les groupes, à des changements d’équipe, ou une inspiration mutuelle sur les techniques utilisées.

Bien qu’aucun lien direct n’ait été prouvé avec d’autres groupes, Qilin a tiré parti de la désorganisation de certains concurrents, comme RansomHub et LockBit. L’activité de Qilin a notamment augmenté après la prise de contrôle supposée de RansomHub par le cartel de ransomware DragonForce. Les affiliés se sont tournés vers Qilin, et en juin 2025, le ransomware est devenu la menace de ce type la plus active au monde..  Les affiliés de LockBit se sont dispersés après le démantèlement de l’Opération Cronos, laissant le RaaS LockBit opérationnel, mais considérablement réduit, poursuivre ses activités sans eux. Qilin a su profiter de cette opportunité en recrutant des affiliés expérimentés issus de ce groupe.

Les migrations d’affiliés ne sont ni nouvelles ni propres à Qilin. Qilin a simplement bien exécuté une stratégie de recrutement efficace. Les opérateurs ont activement fait la promotion du programme sur des forums comme RAMP et XSS, en insistant sur les avantages techniques, la personnalisation des attaques et les paiements généreux offerts aux affiliés. Qilin a récemment fait parler de lui en lançant une nouvelle fonctionnalité pour ses affiliés, baptisée « Appeler un avocat ».  

« Une nouvelle fonctionnalité a été ajoutée à notre panel : l’assistance juridique.

Si vous avez besoin de conseils juridiques concernant votre cible, cliquez simplement sur le bouton "Appeler un avocat" situé dans l’interface de la cible, et notre équipe juridique vous contactera en privé pour vous fournir une assistance qualifiée.

La simple présence d’un avocat dans la discussion peut exercer une pression indirecte sur l’entreprise et augmenter le montant de la rançon, car les entreprises veulent éviter les poursuites. » (Traduction d’un post sur le forum Qilin, via Security Affairs)

Qilin améliore régulièrement son programme et ses capacités. Tout au long de 2025, l’organisation a notamment ajouté : des campagnes de spam, des capacités d’attaque DDoS, la propagation automatique sur le réseau et la négociation automatique des rançons directement dans le panel d’affiliés. Le groupe propose également un service de stockage de données, évitant à certains affiliés d’avoir recours à des solutions cloud externes.

Et ce n’est pas tout : Qilin met à disposition des « journalistes maison » pour « rédiger des articles de blog sur les fuites et aider à exercer une pression supplémentaire durant les négociations ».

Certaines de ces options visent à faciliter le travail des affiliés, d’autres à intensifier la pression sur les victimes. Qilin ne s’est pas arrêté là. Le groupe continue également de développer des charges utiles plus avancées, avec des fichiers binaires plus efficaces et difficiles à détecter. Grâce à ce recrutement agressif et à ces améliorations continues, Qilin est devenu une plateforme de choix pour de nombreux affiliés. Résultat : un réseau mondial d’affiliés Qilin, actifs dans plusieurs pays.

Parmi ces affiliés internationaux, on retrouve Scattered Spider, un groupe notoire connu pour sa volonté de collaborer avec n’importe qui, pourvu que l’argent soit au rendez-vous. Ce groupe a été lié à ALPHV/BlackCat, RansomHub, DragonForce, ShinyHunters, Karakurt, et bien d’autres. Sa maîtrise de l’ingénierie sociale est l’un des nombreux facteurs qui contribuent à la domination actuelle de Qilin dans l’univers du ransomware. Scattered Spider serait apparemment basé aux États-Unis et au Royaume-Uni.

Qu'est-ce qui motive Qilin ?

Ce n’est pas compliqué à comprendre, mais intéressant à explorer. Qilin est motivé par l’argent. L’argent, et l’instinct de survie.

Chaque mouvement stratégique semble pointer vers des motivations financières. Le groupe s’améliore continuellement : maximisant les profits des attaques par ransomware et des extorsions de données. Toutes les fonctionnalités mises en avant dans les forums servent un seul objectif : augmenter les montants extorqués. Il n’y a aucune preuve d’idéologie, aucun discours politique sur son site de fuites ou dans ses communications. Qilin n’a jamais prétendu s’intéresser à autre chose qu’à l’argent… à l’exception d’une attaque malheureuse en 2024.

En février 2024, des affiliés de Qilin ont attaqué Synnovis, prestataire de services de pathologie pour plusieurs hôpitaux du NHS à Londres. L’attaque a perturbé les opérations, interrompu des tests et transfusions sanguines, et entraîné une forte baisse des soins pouvant être prodigués. Le bilan humain est grave : 170 cas de patients affectés, dont deux graves (dommages à long terme ou permanents), et un décès attribué à l’attaque.

Les groupes de ransomware ne cherchent pas à tuer. Et quand cela arrive, ils ne veulent pas admettre que c’était pour de l’argent. C’est la partie de l’histoire où le groupe semble soudainement se soucier de son impact :

« Nous sommes profondément désolés pour les personnes qui ont souffert. Toutefois, nous ne nous considérons pas comme responsables et vous demandons de ne pas nous accuser dans cette situation. »

Les hackers ont également déclaré que le gouvernement britannique était en tort, accusé de ne pas soutenir leur pays dans une guerre non précisée.

« Nos citoyens meurent dans des combats inégaux, faute de médicaments et de dons de sang. »

Entretien de la BBC avec le groupe de ransomware Qilin

Les hackers ont refusé de répondre à d’autres questions après avoir été mis au défi par la BBC », source : BBC

Quand une attaque met la vie de la population en danger, cela devient une menace existentielle pour le groupe de ransomware. Aucune cyberassurance ne peut protéger un hôpital, ou ses patients, des conséquences d’un retard dans les soins vitaux. Cela déclenche une réponse plus agressive des forces de l’ordre, et peut provoquer des divisions internes, car cela suscite une forte indignation. Vous vous souvenez de Black Basta ? C’était une opération solide… jusqu’à ce qu’elle s’effondre à cause de la guerre en Ukraine et de l’attaque contre Ascension Health.  Le groupe a été mis hors ligne en janvier 2025 et ses journaux de discussion internes ont été divulgués quelques semaines plus tard. Darkside aussi était un groupe très actif, jusqu’à ce qu’il frappe les États-Unis via l’attaque contre Colonial Pipeline, entraînant une réponse coordonnée de l’administration Biden.  Darkside a tenté de limiter les dégâts, mais a finalement fermé boutique « en raison de la pression exercée par les États-Unis ».

Les cybercriminels peuvent changer de nom ou rejoindre d’autres groupes, mais les affiliés ne veulent pas perdre les rançons qu’ils attendent (ou qu’ils viennent juste de recevoir) à cause de l’interruption précipitée d’une opération RaaS.

Revenons à Qilin. Lors d’un entretien avec la BBC, le porte-parole de Qilin a refusé d’indiquer quel côté (et quelle guerre) le groupe « soutenait » dans l’attaque contre Synnovis. Les gens se feront leur propre opinion sur la sincérité de ces déclarations. Avec un peu de chance, l’épopée de Qilin s’achèvera bientôt : à cause de cette attaque, ou de divisions internes liées aux enjeux géopolitiques.

Chaîne d'attaque Qilin

La chaîne d'attaque Qilin suit le processus typique en plusieurs étapes :

Accès initial : les pirates infiltrent le réseau via des attaques de phishing (le vecteur le plus courant), des identifiants volés permettant l’accès à distance à des applications, ou encore des vulnérabilités connues dans des équipements ou applications.

Escalade de privilèges, évasion des défenses et déplacement latéral : une fois l’accès obtenu, l’exécutable du ransomware se lance et commence une élévation de privilèges. L’attaque utilise des outils de vol d’identifiants comme Mimikatz pour obtenir les droits administrateur et se déplacer latéralement sur le réseau à la recherche de cibles de valeur. Les logiciels de sécurité sont désactivés et les shadow copies sont supprimées pour empêcher toute tentative de restauration.

Découverte réseau et exfiltration de données : des scripts PowerShell sont utilisés pour exécuter l’énumération d’Active Directory (AD) et faciliter la cartographie du réseau. Des outils de transfert de fichiers sont préparés et les données sensibles sont empaquetées pour être transférées vers des serveurs Qilin (ou d’autres).

Déploiement et exécution : la charge utile de chiffrement est exécutée sur plusieurs systèmes et une demande de rançon est laissée, exigeant un paiement en cryptomonnaie.

Nettoyage et actions anti-investigation : Qilin lance plusieurs tâches pour entraver les tentatives de récupération ou d’enquête. Cela inclut la suppression des journaux d’événements et des dernières shadow copies, l’effacement de l’espace disque libre avec des utilitaires de chiffrement, et le redémarrage des systèmes pour appliquer les changements aux paramètres.  

Se défendre contre le ransomware Qilin

Il n’existe à ce jour aucune vulnérabilité connue que vous puissiez exploiter directement dans le ransomware Qilin pour vous en défendre une fois qu’il est actif sur votre système. La défense repose donc sur la prévention, la détection et une réponse rapide. Mesures clés à mettre en place :

Vous pouvez compter sur Barracuda

Barracuda est le seul fournisseur à proposer une protection polyvalente couvrant tous les vecteurs de menaces majeurs, protégeant vos données et automatisant la réponse aux incidents. La plateforme BarracudaONE, propulsée par l’IA, protège vos e-mails, données, applications et réseaux, et bénéficie du soutien d’un service XDR géré disponible 24 h/24 et 7 j/7. Elle unifie les défenses et fournit une détection intelligente et approfondie des menaces, avec une réponse adaptée. Rendez-vous sur notre site web pour découvrir comment nous pouvons vous aider à protéger votre entreprise.

Découvrez comment Barracuda peut aider les entreprises à renforcer leur cyber-résilience
Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.