Il ransomware Qilin si è affermato come la principale minaccia di aprile 2025 nell’ambito della sicurezza informatica, raggiungendo il record di 72 fughe di dati pubblicate nel mese. Questo risultato pone Qilin nettamente davanti ad altri gruppi ransomware come Akira, Play e Lynx, che si sono fermati a numeri inferiori. L’ascesa di Qilin è stata favorita sia da un aumento delle attività dei suoi affiliati sia dall’utilizzo di tecniche di attacco sempre più avanzate e difficili da rilevare.

NETXLOADER: un elemento chiave dell’ascesa di Qilin

Uno degli elementi chiave della crescita di Qilin è stato l’utilizzo di NETXLOADER, un nuovo loader sviluppato in ambiente .NET, che agisce in modo furtivo per installare ulteriori payload dannosi, tra cui SmokeLoader e lo stesso ransomware Agenda, altro nome con cui è noto Qilin. NETXLOADER è protetto da meccanismi come .NET Reactor 6, rendendo estremamente complessa l’analisi e la rilevazione da parte degli strumenti tradizionali di sicurezza. Grazie a tecniche di offuscamento, nomi di metodi privi di significato e la manipolazione dei flussi di controllo, questo loader riesce a eludere gran parte delle difese convenzionali.

Incremento delle attività e nuovi affiliati

Il gruppo Qilin, attivo dal luglio 2022, ha incrementato notevolmente la frequenza delle fughe di dati a partire da febbraio 2025, passando da una media di 23 vittime mensili a oltre 45, fino al picco di aprile. Questo incremento è stato attribuito anche all’arrivo di nuovi affiliati dopo la chiusura improvvisa del gruppo rivale RansomHub, evento che ha spinto molti cybercriminali a migrare verso Qilin.

Settori colpiti e catena di attacco

Gli attacchi orchestrati da Qilin hanno colpito principalmente settori critici come sanità, tecnologia, servizi finanziari e telecomunicazioni, con vittime sparse tra Stati Uniti, Paesi Bassi, Brasile, India e Filippine. Le catene di attacco più recenti sfruttano l’accesso a credenziali valide e campagne di phishing per lanciare NETXLOADER, che a sua volta scarica SmokeLoader. Quest’ultimo esegue operazioni di evasione dalle sandbox e termina processi attivi, preparando il terreno per il ransomware vero e proprio.

Uso di reflective DLL loading

Un elemento distintivo degli attacchi Qilin è l’uso del reflective DLL loading, una tecnica che consente di caricare moduli dannosi direttamente in memoria, aggirando ulteriormente i sistemi di protezione e rendendo più difficile l’identificazione tempestiva della minaccia.

L’evoluzione di Qilin dimostra come il ransomware sia in continua trasformazione, sia nelle tattiche di attacco che nelle tecnologie impiegate, sottolineando la necessità per le aziende di aggiornare costantemente le proprie strategie difensive.