Theo dữ liệu mới nhất từ Group-IB, Qilin (còn gọi là Agenda) đã trở thành nhóm ransomware hoạt động mạnh nhất trong tháng 4/2025, vượt qua nhiều cái tên đáng chú ý khác như Akira, Play và Lynx. Tổng cộng, nhóm này đã công bố hơn 45 vụ rò rỉ dữ liệu chỉ trong vài tuần đầu tháng, sau khi đã ghi nhận 48 vụ vào tháng 2 và 44 vụ vào tháng 3.
Qilin là một họ ransomware xuất hiện từ tháng 7/2022. Đầu năm 2024, công ty Halcyon đã phát hiện phiên bản cải tiến của mã độc này và đặt tên là Qilin.B. Điểm đặc biệt trong chiến dịch gần đây là việc nhóm này sử dụng kết hợp giữa SmokeLoader – một malware ẩn và nguy hiểm – cùng với một loader mới viết bằng .NET có tên mã là NETXLOADER, chưa từng được ghi nhận trước đó.
Theo báo cáo từ Trend Micro, NETXLOADER đóng vai trò then chốt trong các chuỗi tấn công khi hoạt động ngầm để triển khai các payload độc hại như Agenda ransomware và SmokeLoader. Mã độc này được bảo vệ bằng .NET Reactor 6, khiến cho việc phân tích rất khó khăn. Nó còn tích hợp nhiều kỹ thuật tránh phát hiện như JIT hooking, làm nhiễu tên phương thức và che giấu luồng điều khiển.
Cơ chế tấn công bắt đầu bằng việc khai thác các tài khoản hợp lệ hoặc kỹ thuật phishing để có quyền truy cập ban đầu. Sau đó, NETXLOADER được triển khai lên máy nạn nhân. Từ đây, nó tải về SmokeLoader từ một máy chủ bên ngoài (ví dụ: bloglake7[.]cfd), thực thi các bước nhằm tránh sandbox và virtual machine, đồng thời tắt các tiến trình nhất định đã được định sẵn.
Cuối cùng, SmokeLoader liên lạc với máy chủ điều khiển (C2) để tải lại NETXLOADER, từ đó kích hoạt Agenda ransomware thông qua kỹ thuật reflective DLL loading.
Trend Micro lưu ý rằng NETXLOADER là bước tiến mới đáng kể trong cách mã độc được phân phối. Vì quá trình giải mã rất nặng, việc phân tích gần như không hiệu quả – muốn hiểu payload là gì, bắt buộc phải thực thi và phân tích trong bộ nhớ.
Đáng chú ý, sau khi RansomHub – nhóm ransomware đứng thứ hai về mức độ hoạt động trong năm 2024 – bất ngờ dừng hoạt động vào tháng 4/2025, nhiều affiliate của nhóm này đã chuyển sang hợp tác với Qilin, góp phần làm gia tăng quy mô và tốc độ tấn công. Theo dữ liệu từ Trend Micro, các hoạt động của Agenda ransomware chủ yếu diễn ra tại các ngành như y tế, công nghệ, tài chính, viễn thông và tại các quốc gia bao gồm Hoa Kỳ, Hà Lan, Brazil, Ấn Độ và Philippines.
Các chuyên gia cảnh báo rằng nhóm này không ngừng cải tiến, bổ sung thêm tính năng mới để tăng mức độ phá hoại, với các mục tiêu đa dạng từ mạng domain, thiết bị lưu trữ, hệ thống cho tới hạ tầng ảo hóa như VCenter ESXi.
