• Qilin, o RaaS de Elite
• Infraestrutura Qilin
• Programa de Afiliados
• Modus Operandi Tático
• Mitigações Essenciais
• Infraestrutura Qilin
• Indicators of Compromise (IoCs)
• YARA Rule: Qilin.yar
• Referências

Qilin, o RaaS de Elite

Em minhas últimas apresentações, incluindo a MVP Conf Edição 2025, dediquei atenção especial ao ransomware Qilin, pois os dados recentes do campo de batalha cibernético são inegáveis: apenas no último mês, mais de 30% dos 100 ataques mais ativos catalogados envolveram essa variante de Ransomware-as-a-Service (RaaS). Segundo dados de outubro de 2025, o Qilin foi o grupo mais ativo, com 27 incidentes reportados, contribuindo para um total de 586 ataques e 22.790 vítimas globais registradas naquele mês.

Qilin, o RaaS de Elite

O Qilin, que opera desde meados de 2022 e é conhecido também pelo seu nome anterior, Agenda Ransomware, possui suas raízes na comunidade underground de língua russa[1]. Seu nome, que remete a uma criatura mítica chinesa, reflete a discrição e o poder que o grupo busca projetar.

O Qilin é um adversário que pratica a “caça de grandes alvos” (Big Game Hunting), concentrando-se em criptografar redes corporativas inteiras e exigir resgates que, frequentemente, atingem milhões de dólares.

“Detectar um ataque do Qilin não é apenas reagir — é antecipar. O uso de TTPs conhecidos permite que equipes de SOC configurem regras SIGMA, YARA e correlações de SIEM para caçar sinais antes da criptografia começar.”

• Tecnologia: O ransomware Qilin é escrito em Golang, uma linguagem que facilita a criação de payloads multiplataforma e a evasão de detecções baseadas em assinaturas. Ele suporta múltiplos modos de criptografia, todos controlados pelo operador
• Modelo de Dupla Extorsão: Sua tática primária é a Dupla Extorsão (Double Extortion), onde, além de criptografar os dados, os operadores roubam informações sensíveis e ameaçam publicá-las em seu Data Leak Site (DLS), aumentando drasticamente a pressão para o pagamento do resgate.
• Alvos Prioritários: O grupo tem atacado consistentemente setores críticos. Os 5 principais setores alvo incluem Manufatura, Saúde, Tecnologia, Serviços Empresariais e Serviços Financeiros.
• Plataformas de Alto Valor: Além de Windows e Linux, o Qilin foca na exploração de ambientes de virtualização VMware ESXi, que são alvos de alto valor por hospedarem múltiplas máquinas virtuais críticas

Programa de Afiliados

O Qilin RaaS opera como um negócio sofisticado, recrutando afiliados em fóruns exclusivos como o RAMP. Sua estrutura de pagamento é uma das mais atrativas no mercado de cibercrime:

• 80% do valor do resgate para o afiliado, para pagamentos de até US$ 3 milhões.
• 85% do valor do resgate para o afiliado, para pagamentos acima de US$ 3 milhões

Essa alta divisão atrai grupos de ameaça experientes, como DEV-0237 (FIN12), o conhecido pela engenharia social Octo Tempest (SCATTERED SPIDER), e até mesmo o ator estatal norte-coreano Moonstone Sleet, demonstrando a confiança depositada no ecossistema do Qilin.

Modus Operandi Tático

As campanhas do Qilin seguem um ciclo de ataque metódico, com ênfase em evasão de defesas e uso de ferramentas nativas do sistema.

A. Acesso Inicial e Evasão

O acesso inicial é frequentemente obtido por meio de:

• Phishing/Spear-Phishing Direcionados: Campanhas focadas em roubar credenciais, incluindo senhas e senhas de uso único (OTPs) de MFA.
• Exploração de Vulnerabilidades: Uso de falhas conhecidas em soluções de perímetro, como Fortinet, VPNs e RDP, que o grupo explora para obter acesso inicial. Uma tática recente envolveu o uso de phishing para comprometer ferramentas RMM (Remote Monitoring and Management) de Provedores de Serviços Gerenciados (MSPs).

B. Movimento Lateral e Persistência (Living-Off-the-Land)

A furtividade do Qilin é marcada pelo uso da técnica Living Off the Land Binaries (LOLBins), aproveitando ferramentas legítimas já presentes no sistema operacional para fins maliciosos.

Fase do Ataque	Ferramenta/Tática	Objetivo
Descoberta	powershell.exe Import-Module ActiveDirectory	Mapear o domínio e identificar alvos.
Descoberta/Recon	Nmap, Nping	Identificação de serviços e hosts vulneráveis na rede.
Acesso a Credenciais	sekurlsa::logonpasswords (via Mimikatz)	Extrair credenciais e hashes da memória para uso posterior .
Execução/C2	Cobalt Strike e Tráfego HTTP/SSL	Estabelecer e manter o Comando e Controle (C2).
Movimento Lateral	PsExec, WinRM	Executar comandos remotamente e se mover de host para host.
Evasão de Defesas	EDRSandBlast, PCHunter, PowerTool	Desativar ou se camuflar de soluções de segurança e monitoramento.

Em um movimento que demonstra a maturidade do ecossistema RaaS, o administrador do Qilin, “Haise,” anunciou a adição de um recurso de “assistência jurídica” (“call lawyer”) ao painel de afiliados em junho de 2025. O objetivo não é fornecer defesa legal, mas sim auxiliar os afiliados a:

• Aumentar a Pressão: Classificar os dados roubados e determinar a exposição regulatória do alvo sob leis como GDPR, CCPA e HIPAA.
• Justificar o Resgate: Convencer as vítimas de que os custos de multas, ações judiciais e danos à reputação seriam maiores do que o valor do resgate.

Mitigações Essenciais

Combater um APT como o Qilin requer uma estratégia de defesa em profundidade, combinando proteção de identidade, monitoramento comportamental e resiliência de dados:

1. Fortalecimento da Identidade e Acesso:
   • Implementar MFA (Multi-Factor Authentication) em todos os acessos remotos e administrativos.
   • Utilizar Microsoft Entra ID com políticas de Acesso Condicional e autenticação forte (como FIDO2).
2. Monitoramento Comportamental e Detecção de TTPs:
   • Aplicar políticas de segurança avançadas com Microsoft Defender for Identity, Azure Firewall e Intune [cite: OCR].
   • Usar ferramentas de SIEM/SOAR como Microsoft Sentinel e Defender for Endpoint / Cloud para detecção comportamental, identificando o uso de ferramentas LOLBins (PsExec, WinRM) e o uso de utilitários de AD [cite: OCR, 1].
   • Desenvolver e testar sistemas DLP (Data Loss Prevention) para impedir a exfiltração de dados que alimenta a dupla extorsão.
3. Resiliência e Recuperação (Imutabilidade):
   • Testar e Manter Backups regularmente, garantindo que o tempo de recuperação (RTO) seja aceitável.
   • Utilizar Azure Backup com o recurso de Cofre Imutável (Immutable Vault), impedindo que os dados de backup sejam deletados ou modificados, mesmo por um administrador comprometido, frustrando a fase final do ataque [cite: OCR].
   • Garantir que comandos como vssadmin.exe delete shadows falhem em excluir pontos de restauração cruciais.
4. Treinamento Humano:
   • Treinar usuários continuamente contra phishing e engenharia social, que são os vetores de acesso inicial mais comuns do grupo, especialmente quando se trata de MSPs e ambientes críticos.

Infraestrutura Qilin

Site de vazamento de dados Qilin:

• ozsxj4hwxub7gio347ac7tyqqozvfioty37skqilzo2oqfs4cw2mgtyd[.]onion
• kbsqoivihgdmwczmxkbovk7ss2dcynitwhhfu5yw725dboqo5kthfaad[.]onion
• Ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd[.]onion

Portal das Vítimas de Qilin:

• ozsxj4hwxub7gio347ac7tyqqozvfioty37skqilzo2oqfs4cw2mgtyd[.]onion

Portal de afiliados Qilin:

• ji57fr53anp7wb44tbbnp72qcgbhqywy4jmbncawdcrejj5amuvh3zqd[.]onion

Site da Qilin Clearnet:

• wikileaksv2[.]com (31.41.244[.]100)

Indicators of Compromise (IoCs)

Type	IOC
ftp	ftp://dataShare:nX4aJxu3rYUMiLjCMtuJYTKS@176.113.115.97
ftp	ftp://dataShare:2bTWYKNn7aK7Rqp9mnv3@176.113.115.209
ip	176.113.115.97
ip	176.113.115.209
ip	85.209.11.49
ip	31.41.244.100
ip	85.209.11.49
ip	176.113.115.209
ip	176.113.115.97
ip	188.119.66.189
md5	d6e7547ad7dfd1fbc62e8282aebcc391
md5	f588802958c35fe18eb87bc36651a3d1
md5	2bb209ccfc5103eccab523c875050cfa
md5	a7e7d00d531cb7ca27d0f3bee448573f
md5	964c13b68dc6b6b918b66a9a10469d2a
md5	3b10127e65fa3e215d21e0a2e7fd32be
md5	d1c331c17ddd4abe0d53755461c1ec9a
md5	417ad60624345ef85e648038e18902ab
md5	b04e8ee43aba85fa5c585b9335c953c2
md5	59d756280b06cf113ca43abc0050edd5
md5	88bb86494cb9411a9692f9c8e67ed32c
md5	37155f0bca29ccd6b6d4f5b2bc42eb4d
md5	e01776ec67b9f1ae780c3e24ecc4bf06
md5	417ad60624345ef85e648038e18902ab
md5	11d795baafa44b73766e850d13b8e254
md5	88630916b0c6633ca28c8896416a93ee
md5	dd42c3e017889c107a81da78d87dc8af
md5	1c4bea81c0da22badd9b7eab574c51cd
md5	ab05a1925fee8334a2114811d5283364
md5	64a590760fdbb84356544cc90ac3d50f
md5	2020979e080d7ac9c0403172573c7de8
md5	bed0f34673cc93560c17e3ab04ea5d19
md5	4a3f22021e4415e8211633fb3735a046
md5	6fc6164b3a08669992acad3764fb1922
md5	d309e3d77ed6a336eb3ad263ddf9db90
md5	575b26c1cc06609722f98e2beaed6a8a
md5	a6302fdb63e2244c1246a73a7d65d09e
md5	1bde76f3197123dcc2ecd0bfef567484
md5	ea1f8794c73b26724314e5356f1f4128
md5	9befad1d56d2bd8195813aea1f37f921
md5	9f510626c7327a7c2328bc5131726638
md5	08a2405cd32f044a69737e77454ee2da
md5	fdc6848dad660414bed9ad1b381cf6e3
md5	19ff6488a259d750ec18902fe75a713b
md5	4ea8adecc5bd45a76cc61430c560924f
md5	0d68a310f4265821900249bec89364c2
md5	53c8a4f0497929de4a5039b2c14bf426
md5	670fe8faaede4e2e033311fb662d2a4a
md5	f982da00c547913fd0ae7d0da0fc77e7
md5	9ea321b6a0f069caab7092cfe1cbbde0
md5	2f76a29d4e4292d7f29a29345717812c
md5	826a8e8c05983aa3a884d7abcfa473ac
md5	8ca5c9745e8a0e18167a9b932821645a
md5	5862f9fc9c9a0d766eba29eb4945f619
md5	3158a3849ea2695d6ec5aea6512fd030
md5	24a8fcd08d9e40d32929b57de9b15385
md5	996c394d0f6d6967df9542c52f6f4661
md5	420a2c53386678396f972f09cc7f3a5c
md5	5cffa3126b9effc279d32b2cf4ef2278
md5	348b0ce6af4698061678c8e92b4b2675
md5	144183a4217ae0914ba0c865858d07cd
md5	6f893b1cc5cf534c59eabe932c1bf21e
md5	b4a6152514919a637c22a58bea316fc7
md5	88630916b0c6633ca28c8896416a93ee
md5	bed0f34673cc93560c17e3ab04ea5d19
md5	d1c331c17ddd4abe0d53755461c1ec9a
md5	a7e7d00d531cb7ca27d0f3bee448573f
md5	2020979e080d7ac9c0403172573c7de8
md5	a7ab0969bf6641cd0c7228ae95f6d217
md5	e4c1add9f7606e3fa57976b908b4b375

YARA Rule: Qilin.yar

https://www.ransomware.live/yara/Qilin/Qilin.yar

Referências

• https://github.com/BushidoUK/Ransomware-Tool-Matrix
• https://www.ransomware.live/group/qilin
• https://www.sans.org/blog/evolution-qilin-raas
• https://blog.bushidotoken.net/2024/06/tracking-adversaries-qilin-raas.html