در دنیای امنیت سایبری، برخی تهدیدها تنها یک موج حمله نیستند. بلکه تبدیل به «برند» در دنیای جرایم سایبری می‌شوند. یکی از همین برندها در سال ۲۰۲۵، گروه Qilin  است. نامی که در کمتر از چند ماه، از یک گروه ناشناخته به یکی از مخرب‌ترین گروه‌های باج‌افزاری دنیا تبدیل شد.

گزارش تازه‌ی Cisco Talos  پرده از روش‌های عملیاتی این گروه برداشته و تصویری دقیق از نحوه‌ی نفوذ، حرکت و اخاذی Qilin ارائه داده است.

🧩  Qilin کیست و از کجا آمده؟

Qilin  (که پیش‌تر با نام Agenda شناخته می‌شد) یکی از گروه‌های فعال در مدل Ransomware-as-a-Service (RaaS)  است. این گروه با همکاری «زیرمجموعه‌های اجرایی» خود (affiliates) حملات هدفمند را علیه سازمان‌های بزرگ اجرا می‌کند و درآمد حاصل از باج‌گیری را با آن‌ها تقسیم می‌کند.

Cisco Talos  گزارش داده که تنها در نیمه‌ی دوم سال ۲۰۲۵، بیش از ۴۰ قربانی در ماه توسط Qilin هدف قرار گرفته‌اند. عمدتاً در صنایع تولیدی، علمی و تجاری.

⚙️  مدل حمله Qilin از نگاه Cisco Talos

حملات Qilin با الگوی چندمرحله‌ای و ترکیبی از ابزارهای قانونی و تکنیک‌های کلاسیک انجام می‌شود:

 Initial Access  (نفوذ اولیه)

ورود معمولاً از طریق اعتبارهای لو رفته (stolen credentials)، VPN بدون MFA یا تنظیمات اشتباه در Active Directory / Group Policy انجام می‌شود.

 Privilege Escalation & Discovery (ارتقا و شناسایی)

پس از نفوذ، مهاجمان با ابزارهایی مانند

Mimikatz✔️

SharpDecryptPwd✔️

✔️ابزارهای NirSoft
اطلاعات کاربری و رمزهای عبور را استخراج می‌کنند.

در ادامه از RDP، PsExec و RMM Tools برای حرکت جانبی (Lateral Movement) و کنترل کامل شبکه استفاده می‌شود.

Data Exfiltration  ( خروج داده‌ها)

Qilin  قبل از رمزگذاری داده‌ها، نسخه‌ای از آن‌ها را خارج می‌کند. برای پنهان کردن این انتقال، از ابزارهای مشروع مثل Cyberduck  و سرویس‌های ابری استفاده می‌شود، ترفندی که شناسایی را برای سیستم‌های امنیتی دشوار می‌کند.

Impact  ) رمزگذاری و اخاذی دو مرحله‌ای)

در پایان، داده‌ها رمزگذاری شده و قربانی در برابر دو گزینه قرار می‌گیرد:
یا پرداخت باج برای بازیابی فایل‌ها یا انتشار عمومی اطلاعات در سایت Qilin leak site . این روش به‌نام Double Extortion  شناخته می‌شود.

🧠 تحلیل فنی بر اساس چارچوب MITRE ATT&CK

🚨  چرا Qilin خطرناک‌تر از رقباست؟

برخلاف باج‌افزارهایی مانند LockBit  یا BlackCat  که بیشتر به‌صورت آشکار فعالیت می‌کنند،Qilin با ترکیب دو ویژگی، تشخیص‌ناپذیری بالایی دارد:

1. استفاده از ابزارهای مشروع و امضادار (Living off the Land)
2. ساختار حرفه‌ای RaaS با ماژول‌های چندزبانه و رمزنگاری قوی

همین موضوع باعث شده شناسایی آن در SIEM یا EDR تنها از طریق رفتارشناسی ممکن باشد، نه امضای فایل.

🛡️ راهکارهای مقابله با حملات Qilin

🔹 در سطح سازمانی:

✔️ اجرای MFA روی تمام VPNها و حساب‌های مدیریتی

✔️ Segment  کردن شبکه و محدودسازی دسترسی lateral

✔️ سیاست Backup  آفلاین و تست بازیابی منظم

✔️ آموزش مستمر کارکنان در تشخیص ایمیل‌های فیشینگ و رفتارهای مشکوک

🔹 در سطح فنی (SOC / Blue Team) :

✔️Tamper Protection برای EDR و AMSI

✔️ ساخت Ruleهای SIEM برای رفتارهای زیر:

• اجرای PsExec از میزبان‌های غیرمجاز
• ترافیک غیرعادی از Cyberduck یا ابزارهای ابری

✔️ بررسی استفاده از RMMهای غیرمجاز

✔️ پایش Credential Dumping از مسیرهای شناخته‌شده (مثل %TEMP% یا C:\Windows\System32)

✔️ استفاده از Threat Intelligence Feedها برای به‌روزرسانی IOCهای مرتبط با Qilin

🤖  آینده‌ی تهدیدهای این چنینی و دفاع هوشمند

با افزایش ترکیب حملات با هوش مصنوعی، دفاع سنتی دیگر کافی نیست. تیم‌های امنیتی باید از ابزارهای AI/ML-based Detection  برای شناسایی رفتارهای ناشناخته و SOAR Automation  برای پاسخ سریع‌تر استفاده کنند.
دفاع هوشمند یعنی: مدل‌های یادگیری ماشین تهدید را شناسایی می‌کنند، و انسان تصمیم نهایی را می‌گیرد.

🧩  جمع‌بندی

Qilin  فقط یک باج‌افزار دیگر نیست؛ نماینده‌ی نسل جدیدی از حملات سازمان‌یافته است که با ترکیب RaaS، ابزارهای مشروع و مدل‌های پنهان‌کارانه، مرزهای امنیت را به چالش کشیده است.
Cisco Talos  هشدار داده است که «هوشیاری مداوم، تفکیک دسترسی‌ها و تحلیل رفتار شبکه» تنها مسیر مقابله با چنین تهدیدهایی است.

📘  مقاله‌ی آموزشی و تخصصی درباره‌ی شناسایی و پیشگیری از باج‌افزارها در سطح شبکه و Endpoint به‌زودی در وب‌سایت سلام دیجی منتشر می‌شود.