12/05/25
Они опубликовали данные 72 жертв на своём сайте утечек. По данным Group-IB, это рекордный показатель: с июля 2024 по январь 2025 количество таких публикаций редко превышало 23 в месяц, однако с февраля кривая резко пошла вверх — 48 случаев в феврале, 44 в марте и 45 уже в первые недели апреля.
Главным толчком к усилению активности стало внезапное исчезновение конкурирующей группировки RansomHub, ранее занимавшей второе место по числу атак, пишут в Securitylab. После её распада значительное количество аффилированных злоумышленников переметнулось к Qilin, что обеспечило экспоненциальный рост масштабов их операций. По данным Flashpoint, только за год с апреля 2024 по апрель 2025 RansomHub успела поразить 38 организаций в финансовом секторе, прежде чем исчезнуть из поля зрения.
Особенность кампаний Qilin заключается в использовании новой связки вредоносных компонентов: уже известного модуля SmokeLoader и нового .NET-загрузчика, получившего кодовое имя NETXLOADER.
Исследователи Trend Micro подробно изучили NETXLOADER и отметили его ключевую роль в распространении вредоносных программ, включая саму Agenda и SmokeLoader. Этот загрузчик скрытно устанавливает вредоносные модули, защищён от анализа при помощи системы .NET Reactor версии 6 и использует множество обходных техник.
NETXLOADER крайне сложно анализировать: код зашифрован, имена методов неинформативны, а логика исполнения запутана. Используются продвинутые методы сокрытия, такие как JIT-хуки и контролируемая загрузка DLL-библиотек напрямую в память, что делает невозможным статический анализ или поиск по строкам. По сути, без запуска в реальной среде понять, что именно выполняет этот загрузчик, невозможно.
Цепочки атак чаще всего стартуют с фишинга или компрометации реальных учётных записей, после чего на заражённую систему попадает NETXLOADER. Далее он активирует SmokeLoader, который выполняет антианализ, проверки на виртуализацию и отключает процессы из заранее заданного списка. На финальной стадии SmokeLoader связывается с удалённым сервером управления и получает оттуда NETXLOADER, уже загружающий вымогатель Agenda через технику Reflective DLL Loading — подгрузку библиотеки напрямую в память без записи на диск.
Agenda активно применяется для атак на сетевые домены, внешние накопители, хранилища и гипервизоры VCenter ESXi. По наблюдениям Trend Micro, наиболее частыми жертвами становятся организации из здравоохранения, финансового сектора, телекоммуникаций и IT-инфраструктуры в таких странах, как США, Индия, Бразилия, Филиппины и Нидерланды.
