Qilin fidye yazılımı grubu, 2025 yılının başından itibaren Ocak ayı hariç her ay 40’tan fazla kurban bildirerek fidye yazılımı tehditlerinde önemli bir aktör haline geldi. Cisco Talos ve Trend Micro analizlerine göre, ABD, Kanada, İngiltere, Fransa ve Almanya en çok etkilenen ülkeler arasında yer alıyor. Saldırılar özellikle imalat, profesyonel ve bilimsel hizmetler ile toptan ticaret sektörlerini hedef aldı.

İlk Erişim ve Kimlik Bilgisi Toplama

Saldırganlar, karanlık webde sızdırılmış yönetici kimlik bilgilerini VPN arayüzü üzerinden kullanarak alan denetleyicisine ve uç noktalara RDP bağlantıları gerçekleştirdi. Ağ keşfi ve sistem haritalaması aşamasında Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe ve SharpDecryptPwd gibi araçlarla kimlik bilgileri toplandı. Visual Basic Script ile bu veriler harici SMTP sunucusuna aktarıldı. Mimikatz komutları, Windows olay günlüklerini temizleme, SeDebugPrivilege etkinleştirme ve Chrome’un SQLite veritabanından şifre çıkarma gibi kritik işlevleri içeriyor.

Meşru Araçların Kötüye Kullanımı ve Tespitten Kaçış

Qilin saldırganları, mspaint.exe, notepad.exe ve iexplore.exe gibi meşru araçları hassas verileri incelemek için kullandı. Cyberduck ile dosyalar uzak sunucuya aktarılırken kötü amaçlı faaliyetler gizlendi. AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist ve ScreenConnect gibi RMM araçları, ayrıcalık yükseltme ve yatay hareket için kuruldu. PowerShell komutları ile AMSI devre dışı bırakıldı, TLS sertifika doğrulaması kapatıldı ve Kısıtlı Yönetici modu etkinleştirildi. Dark-kill ve HRSword gibi araçlarla güvenlik yazılımları sonlandırıldı. Kalıcı erişim için Cobalt Strike ve SystemBC yerleştirildi.

BYOVD Tekniği ve Linux Fidye Yazılımı Varyantı

Qilin, Linux fidye yazılımı varyantını Windows sistemlerinde kullanarak BYOVD (Bring Your Own Vulnerable Driver) tekniği ile meşru BT araçlarını birleştirdi. “eskle.sys” sürücüsü ile güvenlik çözümleri devre dışı bırakıldı, süreçler sonlandırıldı ve tespit önlendi. PuTTY SSH istemcileri ile Linux sistemlere yatay hareket sağlandı. COROXY arka kapısı üzerinden SOCKS proxy örnekleri kullanılarak C2 trafiği gizlendi. WinSCP ile Linux fidye yazılımı ikilisi Windows sistemlerine güvenli dosya transferi yaptı. Splashtop Remote’un SRManager.exe servisi ile Linux yükü doğrudan Windows üzerinde çalıştırıldı. Bu çapraz platform yeteneği, hem Windows hem Linux ortamlarını etkileyebiliyor.

Gelişmiş Hedefleme ve Sanallaştırma Ortamları

Güncellenmiş Qilin örnekleri Nutanix AHV tespiti içeriyor ve hiper-bütünleşik altyapı platformlarını hedef alıyor. Bu durum, tehdit aktörlerinin VMware dışındaki modern kurumsal sanallaştırma ortamlarına uyum sağladığını gösteriyor. Ayrıca, MCP istemcisi benzeri yapılar ve Pydantic AI destekli otomasyon teknikleri ile saldırı zinciri optimize ediliyor. AsyncRAT benzeri uzaktan erişim araçları ve konteynerlerde rastgele SSH portları kullanımı, saldırının karmaşıklığını artırıyor.

Yedekleme Altyapısına Yönelik Saldırılar ve Oltalama Teknikleri

Qilin, özellikle Veeam yedekleme altyapısını hedef alarak kimlik bilgilerini özel araçlarla sistematik biçimde topluyor ve felaket kurtarma yeteneklerini tehlikeye atıyor. Bazı saldırılar, Cloudflare R2 üzerinde barındırılan sahte CAPTCHA sayfaları ve hedefe yönelik oltalama yöntemleriyle kötü amaçlı yüklerin çalıştırılmasını tetikliyor. Bu sayfalar, kimlik bilgisi hırsızlığı için kritik bilgi toplama işlevi görüyor.

Sonuç olarak, Qilin fidye yazılımı operasyonları, sofistike BYOVD saldırı zinciri, çapraz platform fidye yazılımı kullanımı ve gelişmiş tespit önleme teknikleriyle kurumsal ağlara ciddi tehdit oluşturuyor.