Група ransomware Qilin, активна з липня 2022, націлилася на організації в США, Канаді, Великобританії, Франції та Німеччині, переважно в виробництві (23%), професійних послугах (18%) та оптовій торгівлі (10%). Зловмисники отримали початковий доступ за допомогою витіків облікових даних з даркнету через VPN та RDP-з’єднання до контролерів доменів. Вони провели розвідку, зібрали облікові дані інструментами, як Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe та SharpDecryptPwd, і ексфільтрували дані через SMTP-сервери за допомогою Visual Basic Scripts. Легітимні інструменти, як Cyberduck, mspaint.exe та notepad.exe, зловживалися для трансферу та огляду чутливих файлів. Ескалація привілеїв та латеральний рух послідували, з розгортанням RMM-інструментів, як AnyDesk та ScreenConnect, поряд з Cobalt Strike та SystemBC для стійкого доступу. Для ухилення виявлення вони вимкнули AMSI, припинили безпеку dark-kill та HRSword, і стерли журнали подій та тіні копії перед шифруванням.

У гібридній атаці Qilin розгорнув Linux-пейлоад ransomware на Windows-системах за допомогою техніки BYOVD з драйвером “eskle.sys” для вимкнення рішень безпеки. Зловмисники експлуатували легітимні IT-інструменти, як Splashtop, платформу RMM Atera Networks та ScreenConnect для виконання команд, паралельно націлюючись на інфраструктуру Veeam для збору облікових даних та порушення відновлення після катастроф. Початковий доступ доповнювався спірфішингом та ClickFix-стилем фейкових CAPTCHA-сторінок на Cloudflare R2 для доставки інфо-стілерів. Linux-бінарій дозволив кросплатформове шифрування, націлюючись на Windows та Linux, з виявленням Nutanix AHV для включення гіпермережевої інфраструктури. SOCKS-проксі, PuTTY SSH-клієнти та WinSCP полегшили латеральний рух та трансфер файлів, з бекдором COROXY для обфускації C2-трафіку.