威胁情报,Qilin,麒麟,勒索软件,RaaS,Agenda

Qilin 勒索组织威胁情报跟踪

报告编号: TIR-2026-0619-002 | 分类等级: TLP:AMBER | 发布日期: 2026年6月19日 | 情报来源: 多源交叉验证（OSINT + 厂商报告 + 执法通报）

一、执行摘要

Qilin（麒麟，又名 Agenda）是当前全球最活跃的勒索软件即服务（RaaS）组织。该组织于2022年中期首次出现，以中国神话中的瑞兽"麒麟"命名，但实际运营者为俄语系网络犯罪团伙。截至2026年6月，Qilin 已攻击超过 1,888 个组织，2024年赎金收入超过 5,000万美元，在 LockBit 被执法打击后迅速吸收其生态成员，成为全球勒索威胁的头号角色。

关键发现

维度	关键指标
组织规模	全球最活跃 RaaS，1,888+ 受害者，吸收 LockBit/ALPHV/RansomHub 成员
攻击速度	初始访问到数据外传仅需数天，加密阶段数小时完成
加密强度	ChaCha20/AES-256 + RSA-2048/4096，无公开解密工具
首要入口	凭证入侵（超越漏洞利用）、FortiGate、Veeam、SAP 漏洞
商业模式	80-85% 分成（附属），分级激励（>300万美元赎金获85%）
赎金区间	数十万至数千万美元（Synnovis 案索要5000万美元）
技术演进	Go → Rust 重写，Chrome 凭据窃取、WSL 滥用、BYOVD
关联组织	Scattered Spiders、朝鲜关联组织、LockBit、DragonForce
解密可能性	不存在（截至2026年6月无公开解密工具）

威胁等级评估

评估维度	等级	说明
技术能力	🔴 极高	Rust 重写、Chrome 窃取、WSL 滥用、BYOVD、多平台加密
运营成熟度	🔴 极高	完整 RaaS 平台、“Call Lawyer"谈判服务、Tor+Clearnet DLS
攻击规模	🔴 极高	1,888+ 受害者，全球最多，5000万美元+年收入
目标针对性	🔴 高	广谱攻击，美国占50%+，制造业/科技/医疗为重点
数据泄露风险	🔴 极高	双勒索模式 + 公开 DLS + 500GB 级数据外传

二、威胁行为者画像

2.1 组织标识

属性	值
官方名称	Qilin（麒麟）
别名	Agenda、Ke Lin、Qilin RaaS
组织类型	勒索软件即服务（RaaS）
活跃周期	2022年中期（Agenda）→ 更名为 Qilin → 至今
主要语言	俄语（内部沟通）、英语（受害者沟通）
地理归属	俄语系网络犯罪组织（虽以中国神话命名）
攻击目标	全球企业（内置 CIS 国家排除逻辑）
动机	经济利益
MITRE ATT&CK ID	S1242

2.2 组织演化时间线

2022年中    以 "Agenda" 名称在暗网论坛首次出现
            最初由化名 "BianLian" 的威胁行为者编写
    ↓
2022年底    更名为 "Qilin"（麒麟），取自中国神话瑞兽
            恶意软件从 Go 重写为 Rust
    ↓
2023年      在 RAMP 论坛招募关联成员（注册费500美元BTC）
            开始大规模攻击活动
    ↓
2023.11     攻击延锋汽车（中国），北美多家工厂生产中断
    ↓
2024年初    LockBit 被 Operation Cronos 打击
            ALPHV/BlackCat 退出骗局
            大量经验丰富的附属转入 Qilin
    ↓
2024.06     攻击英国 NHS 相关机构 Synnovis
            索要5000万美元赎金，伦敦多家医院取消手术
    ↓
2024年      攻击澳大利亚法院系统、Bloomberg
            年收入超过5000万美元
    ↓
2025.04     RansomHub 停运
            大量前关联成员转向 Qilin
    ↓
2025年      与 LockBit、DragonForce 建立新联盟
            攻击日本朝日集团、吉隆坡国际机场
    ↓
2025-2026   成为 CISA 认定的"顶级勒索威胁"
            累计受害者超过1,888个
    ↓
2026年      持续活跃，技术持续演进
            Chrome 窃取、WSL 滥用、BYOVD 等新能力

2.3 核心运营者与关联

角色	说明
核心运营方	开发维护勒索软件工具包、Tor 基础设施、谈判门户
关联成员（Affiliates）	负责寻找目标、实施入侵、部署勒索
已知关联组织	Scattered Spiders、朝鲜关联组织
已知关联成员	Devman、Arkana、Pistachio Tempest
新联盟	LockBit、DragonForce（2025年建立）
招募渠道	RAMP 论坛（注册费500美元BTC）

2.4 附属成员体系

指标	数据
分成比例	附属80-85%，运营方15-20%
分级激励	≤300万美元赎金：附属获80%；>300万美元：附属获85%
支付方式	赎金先支付到附属加密货币钱包，再向运营方转账
谈判特色	提供"Call Lawyer"服务——允许受害者联系外部"法律顾问"协助谈判

三、归因分析

3.1 归属评估

字段	信息	置信度
语言归属	俄语系（运营者使用俄语交流）	高
地理归属	俄罗斯/独联体（推断）	中高
CIS 豁免	内置 CIS 国家排除逻辑——典型俄语勒索特征	确认
论坛活动	RAMP（俄语独占论坛）招募	确认
生态关联	与 LockBit、ALPHV、BlackCat 等俄语组织高度关联	高
国家级归因	无正式国家级归因声明	-

3.2 归属证据

┌─────────────────────────────────────────────────────────────┐
│  俄语系归属证据                                             │
│  ──────────────                                             │
│  • 运营者在 RAMP（俄语独占论坛）使用俄语交流                │
│  • 恶意软件内置 CIS 国家排除逻辑                            │
│  • 基础设施与俄语 RaaS 生态高度一致                         │
│  • 关联招募和论坛活动与俄语生态匹配                         │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│  命名来源                                                   │
│  ──────────                                                 │
│  • "Qilin"（麒麟）取自中国神话瑞兽                          │
│  • 象征力量与繁荣                                           │
│  • 但运营者与中国无已知关联                                 │
│  • 仅为品牌命名选择                                         │
└─────────────────────────────────────────────────────────────┘

3.3 地缘政治因素

因素	评估
俄方态度	仅追诉底层协助者，高级运营者免于追诉
CIS 豁免	明确禁止攻击 CIS 国家，换取俄方不干涉
执法壁垒	俄罗斯不配合西方执法请求
执法状态	截至2026年初，无重大公开执法行动成功瓦解 Qilin

四、技术能力评估

4.1 恶意软件演变

阶段	时间	语言	特征
Agenda v1	2022年中	Go（Golang）	跨平台、高度可定制
Qilin v2	2022年底	Rust	更高加密速度、更强检测规避、跨平台兼容
Qilin v3	2024年	Rust + C++	Chrome Stealer、BYOVD 驱动、WSL 滥用

4.2 加密机制分析

4.2.1 加密算法

组件	算法	说明
对称加密	ChaCha20 / AES-256	可配置
非对称加密	RSA-2048 / RSA-4096	可配置
加密模式	skip-step / percent / speed	可配置，优化大文件加密速度
文件扩展名	可自定义	使用唯一公司 ID 作为加密后缀

4.2.2 加密流程

┌─────────────────────────────────────────────────────────────┐
│  1. 生成 RSA 密钥对（或复用运营者公钥）                      │
│  2. 生成对称密钥（ChaCha20 或 AES-256）                     │
│  3. 使用对称密钥加密文件内容                                 │
│  4. 使用 RSA 公钥加密对称密钥                                │
│  5. 将加密后的对称密钥追加到文件尾部                         │
│  6. 重命名文件（添加自定义扩展名）                           │
│  7. 删除原始文件                                             │
│  8. 投放勒索信                                               │
└─────────────────────────────────────────────────────────────┘

4.2.3 加密优化策略

模式	说明
skip-step	跳步加密，每隔 N 字节加密一次
percent	百分比加密，仅加密文件的 X%
speed	速度模式，优化大文件加密速度
黑名单/白名单	避免加密系统关键文件导致无法启动

4.3 核心能力

能力	说明
Chrome 凭据窃取	加密前窃取 Google Chrome 保存的密码和 Cookie
WSL 滥用	利用 Windows Subsystem for Linux 规避终端检测
BYOVD	使用签名但存在漏洞的驱动程序绕过安全软件
Kickidler 滥用	部署合法员工监控软件进行屏幕录制、键盘记录
NETXLOADER	自定义加载器
SMOKEDHAM	PowerShell 后门加载器
ESXi LOTL	利用 ESXi 自带工具提高隐蔽性
安全模式重启	重启系统进入安全模式绕过安全工具

4.4 C2 架构

工具	类型	说明
cloudflariz[.]com	C2 Beacon	每10分钟回连，1-3分钟抖动
rv-tool[.]net	木马化分发	木马化 RVTools 分发站点
wikileaksv2[.]com	Clearnet 站点	关联 Clearnet 站点
Tor DLS	数据泄露站	Tor + Clearnet 双站点

4.5 多平台支持

平台	语言	说明
Windows	Rust	主平台
Linux	Rust	支持
VMware ESXi	Rust + C++	LOTL 技术

五、攻击链分析

5.1 MITRE ATT&CK 映射

阶段	技术	说明
初始访问	T1190	利用公开应用漏洞（FortiGate、Veeam、SAP）
	T1078	有效账户（暗网购买凭证、IAB）
	T1566.001	鱼叉式钓鱼邮件（伪装 Dropbox、发票软件）
	T1133	外部远程服务（Fortinet VPN、RDP、WinRM）
执行	T1204.002	用户执行：恶意文件（C:\temp\w.exe，需命令行密码）
	T1059.001	PowerShell（SMOKEDHAM 脚本）
持久化	T1547.001	注册表运行键/启动文件夹
	T1547.004	Winlogon Helper DLL
权限提升	T1548.002	绕过 UAC（窃取令牌）
	T1134	访问令牌操纵（内嵌 Mimikatz）
防御规避	T1562.001	禁用/修改安全工具
	T1070.001	清除 Windows 事件日志
	T1036	伪装（合法系统文件名）
	T1027	混淆文件（Themida 加壳）
	-	WSL 滥用、BYOVD、安全模式重启
凭证访问	T1003	OS 凭据转储（Mimikatz、DonPAP、lazagne）
	T1555.003	浏览器凭据（Chrome Stealer）
	T1528	窃取访问令牌
发现	T1087.001	本地账户发现
	T1083	文件与目录发现
	T1016	系统网络配置发现
	T1082	系统信息发现
	T1482	域信任发现
横向移动	T1021.001	远程桌面协议（RDP）
	T1021.002	SMB/Windows 管理共享
	T1021.006	Windows 远程管理（WinRM）
	T1550.002	传递哈希（PtH）
收集	T1005	本地系统数据
	T1039	共享网络驱动器数据
	T1074	数据暂存
渗出	T1048	替代协议外传（FTP、MEGA、SSL）
	-	单次攻击可外传高达 500GB 数据
影响	T1486	数据加密勒索
	T1490	删除备份/影子副本
	T1485	数据销毁
	T1491.001	内部 defacement（DLS 公布数据）

5.2 完整攻击链还原

阶段一：初始入侵

┌─────────────────────────────────────────────────────────────┐
│  入侵路径 A（最常见）: 凭证入侵                              │
│  ────────────────────────                                   │
│  1. 从暗网购买有效凭证                                       │
│  2. 或通过初始访问代理（IAB）获取凭证                        │
│  3. 利用 BEC（商业邮件欺诈）获取凭证                         │
│  4. 登录 VPN 或远程桌面                                      │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│  入侵路径 B: 漏洞利用                                        │
│  ──────────────────                                         │
│  1. 利用 FortiGate 漏洞（CVE-2024-21762、CVE-2024-55591）   │
│  2. 利用 Veeam 漏洞（CVE-2023-27532）                       │
│  3. 利用 SAP 0day（CVE-2025-31324）                         │
│  4. 利用 ScreenConnect、Citrix 等远程访问工具漏洞            │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│  入侵路径 C: 钓鱼邮件                                        │
│  ──────────────────                                         │
│  1. 发送伪装 Dropbox、发票软件的钓鱼邮件                     │
│  2. 诱导用户执行恶意附件                                     │
│  3. 部署载荷到 C:\temp\w.exe                                 │
└─────────────────────────────────────────────────────────────┘

阶段二：内网侦察与权限提升

内网侦察
├── AD 枚举（域控、用户、组、域信任关系）
├── 网络拓扑发现
├── 备份系统定位
├── 虚拟化基础设施识别
├── 关键服务器定位
└── 系统服务枚举

权限提升
├── Mimikatz 凭证窃取（Themida 加壳）
├── DonPAP、lazagne 凭据提取
├── Chrome Stealer（浏览器密码和 Cookie）
├── 令牌操纵（窃取令牌在提升安全上下文中启动进程）
├── UAC 绕过
└── Pass-the-Hash（PtH）攻击

阶段三：防御规避与数据窃取

防御规避
├── 终止杀毒软件进程和服务
├── BYOVD（签名漏洞驱动禁用安全软件）
├── WSL 滥用（规避终端检测）
├── 安全模式重启（绕过安全工具）
├── 清除 Windows 事件日志
├── Themida 加壳保护工具
└── Kickidler 监控软件滥用（屏幕录制、键盘记录）

数据窃取
├── FTP 外传
├── MEGA 云存储外传
├── SSL 加密通道外传
└── 单次攻击可外传高达 500GB 数据

阶段四：全网加密

加密部署
├── 部署载荷到 C:\temp\w.exe（需命令行密码，SHA-256 验证）
├── 使用 NETXLOADER 自定义加载器
├── SMOKEDHAM PowerShell 后门加载器
└── 横向移动：RDP、SMB、WinRM、PsExec

加密执行
├── 删除卷影副本（vssadmin delete shadows）
├── 删除备份
├── 加密文件（ChaCha20/AES-256 + RSA）
├── 重命名文件（自定义扩展名）
├── 投放勒索信
└── 在 DLS 公布数据（双勒索）

5.3 关键漏洞利用

CVE	CVSS	影响组件	利用方式
CVE-2025-31324	-	SAP NetWeaver Visual Composer	0day 漏洞（公开前已被利用）
CVE-2024-55591	9.8	FortiOS/FortiProxy	认证绕过
CVE-2024-21762	9.8	FortiGate	SSL VPN 漏洞利用
CVE-2023-27532	9.8	Veeam Backup & Replication	获取配置数据库中的加密凭据
-	-	ScreenConnect	远程访问工具漏洞
-	-	Citrix	VPN/远程访问
-	-	ESXi 服务器	虚拟化平台攻击

六、受害者分析

6.1 规模统计

来源	受害者数	截止日期	说明
Qilin DLS	1,888+	2026.06	官方声称
CISA	顶级威胁	2025 Q2	美国 SLTT 政府占24%
行业报告	1,044+	2025	年度最高产出

6.2 行业分布

制造业          ████████████████████████████████████████ 24%
专业科技服务    ██████████████████████████████           18%
工程与建筑      ███████████████                          10%
医疗健康        ███████████████                          10%
消费与零售      ████████████                             8%
金融服务        ██████████                               7%
教育            ██████████                               高优先级
政府与公共部门  ██████████                               显著目标
其他            ██████████████████████████               15%

6.3 地理分布

排名	国家/地区	占比
1	美国	>50%（436/792+）
2	法国	~6%
3	加拿大	~6%
4	英国	显著
5	德国	显著
6	巴西	显著
7	韩国	显著
8	西班牙	显著
9	日本	亚太重点目标

6.4 知名受害者案例

受害者	行业	国家	影响
Synnovis（英国NHS）	医疗	英国	索要5000万美元，伦敦多家医院取消手术、急诊转移
延锋汽车	汽车制造	中国/美国	北美多家工厂生产中断
澳大利亚法院系统	政府/司法	澳大利亚	双重勒索，窃取法庭音视频文件
Bloomberg	媒体	美国	数据被窃取
日本朝日集团（Asahi）	食品饮料	日本	窃取9,323份文件/27GB数据，啤酒生产瘫痪
吉隆坡国际机场	关键基础设施	马来西亚	索要1000万美元赎金
新光塑胶	制造	日本	多个日本企业受害
日产创意设计中心	科技	日本	多个日本企业受害

6.5 受害者特征画像

高概率受害特征:
├── 使用 Fortinet、Veeam、SAP、Citrix 等未修补漏洞的设备
├── 公网暴露 VPN/远程桌面端口
├── 弱口令或凭证泄露（暗网可购买）
├── 无 MFA 或 MFA 配置不当
├── 依赖 Active Directory 且未加固
├── 无 EDR 或 EDR 配置不当
├── 制造业、医疗、科技、政府等行业
├── 美国、欧洲、亚太地区企业
└── 中小企业（仅11%受害者营收超1亿美元）

七、RaaS 运营模式

7.1 商业模式

特征	详情
核心运营方	开发维护勒索软件工具包、Tor 基础设施、谈判门户
关联成员（Affiliates）	负责寻找目标、实施入侵、部署勒索
分成比例	附属获得 80-85% 赎金；运营方保留 15-20%
分级激励	≤300万美元赎金：附属获80%；>300万美元：附属获85%
支付方式	赎金先支付到附属的加密货币钱包，再向运营方转账
谈判特色	提供"Call Lawyer"服务——允许受害者联系外部"法律顾问"协助谈判

7.2 数据泄露站点（DLS）

特征	详情
Tor 站点	运营 Tor 隐藏服务 DLS
Clearnet 站点	同时运营公开互联网 DLS
公开羞辱	公开羞辱受害者，施加额外付款压力
累计声称	截至2026年6月，累计声称 1,888 名受害者

7.3 生态吸收策略

┌─────────────────────────────────────────────────────────────┐
│  LockBit 被 Operation Cronos 打击（2024年初）               │
│  → 大量 LockBit 附属转入 Qilin                              │
└─────────────────────────────────────────────────────────────┘
                         ↓
┌─────────────────────────────────────────────────────────────┐
│  ALPHV/BlackCat 退出骗局（2024年）                          │
│  → 经验丰富的附属转入 Qilin                                 │
└─────────────────────────────────────────────────────────────┘
                         ↓
┌─────────────────────────────────────────────────────────────┐
│  RansomHub 停运（2025年4月）                                │
│  → 大量前关联成员转向 Qilin                                 │
└─────────────────────────────────────────────────────────────┘
                         ↓
┌─────────────────────────────────────────────────────────────┐
│  与 LockBit、DragonForce 建立新联盟（2025年）               │
│  → 进一步壮大生态                                           │
└─────────────────────────────────────────────────────────────┘

八、基础设施分析

8.1 已知基础设施

类型	值	说明	状态
域名	`cloudflariz[.]com`	C2 Beacon 回连域名	活跃
域名	`rv-tool[.]net`	木马化 RVTools 分发站点	活跃
域名	`wikileaksv2[.]com`	关联 Clearnet 站点	活跃
IP	`31.41.244.100`	C2/泄露站点基础设施	活跃
IP	`194.165.16[.]13`	C2/数据外传	活跃
IP	`93.115.25[.]139`	C2/数据外传	活跃
IP段	`184.168.123.0/24`	关联基础设施	活跃

8.2 基础设施特征

基础设施策略:
├── Cloudflare 滥用（cloudflariz.com）
├── Tor 隐藏服务（DLS）
├── Clearnet 站点（双站点策略）
├── 木马化工具分发（rv-tool.net）
├── 多 IP 多域名冗余
└── 定期迁移基础设施

九、IOC 完整列表

9.1 文件哈希

类型	哈希值	说明
SHA-256	`e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527`	Qilin 样本
SHA-256	`55e070a86b3ef2488d0e58f432aca494be65c9c4363d739649225efbbd1`	Qilin 样本
SHA-256	`37546b811e369547c8bd631fa4399730d3bdaff635e744d83632b74f4456cf6`	Qilin 样本
SHA-256	`555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4`	Qilin 样本
SHA-256	`fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039`	Qilin 样本
SHA-256	`76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e`	Qilin 样本
SHA-256	`011df46e94218cbb2f0b8da13ab3cec397246fdc63436e58b1bf597550a647f6`	TPwSav.sys（BYOVD 驱动）
SHA-256	`d3af11d6bb6382717bf7b6a3aceada24f42f49a9489811a66505e03dd76fd1af`	avupdate.dll
SHA-256	`aeddd8240c09777a84bb24b5be98e9f5465dc7638bec41fb67bbc209c3960ae1`	main.exe

9.2 网络指标

类型	值	说明
域名	`cloudflariz[.]com`	C2 Beacon 回连域名（每10分钟，1-3分钟抖动）
域名	`rv-tool[.]net`	木马化 RVTools 分发站点
域名	`wikileaksv2[.]com`	关联 Clearnet 站点
IP	`31.41.244.100`	C2/泄露站点基础设施
IP	`194.165.16[.]13`	C2/数据外传
IP	`93.115.25[.]139`	C2/数据外传
IP段	`184.168.123.0/24`	关联基础设施

9.3 文件特征

特征	值
常见载荷名称	`w.exe`
部署路径	`C:\temp\w.exe`
注册表键	`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce*aster = %Public%\enc.exe`
工具	Mimikatz（Themida 加壳）、DonPAP、lazagne、PsExec、WinSCP、Kickidler
外传目标	MEGA 云存储、FTP 服务器
命令行密码	SHA-256 验证

9.4 行为指标

行为	说明
进程终止	批量终止安全软件进程和服务
日志清除	清除 Windows 事件日志
影子副本删除	`vssadmin delete shadows`
Chrome 凭据访问	异常的浏览器密码数据库访问
WSL 调用	异常的 Windows Subsystem for Linux 调用
BYOVD	加载签名漏洞驱动
安全模式重启	重启系统进入安全模式
大量数据外传	检测 MEGA 云存储、FTP 大量上传

十、检测规则

10.1 Sigma 规则

title: Qilin Ransomware - Shadow Copy Deletion
id: qilin-shadow-copy-deletion
status: experimental
description: 检测 Qilin 勒索软件删除影子副本的行为
author: Threat Intelligence Team
date: 2026/06/19
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        CommandLine|contains|all:
            - 'vssadmin'
            - 'delete'
            - 'shadows'
    condition: selection
level: critical

title: Qilin Ransomware - Chrome Credential Access
id: qilin-chrome-credential-access
status: experimental
description: 检测异常的 Chrome 凭据访问行为
author: Threat Intelligence Team
date: 2026/06/19
logsource:
    category: file_access
    product: windows
detection:
    selection:
        TargetFilename|contains: 'Google\Chrome\User Data\Default\Login Data'
    condition: selection
level: high

title: Qilin Ransomware - WSL Abuse
id: qilin-wsl-abuse
status: experimental
description: 检测异常的 WSL 调用行为
author: Threat Intelligence Team
date: 2026/06/19
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        Image|endswith: '\wsl.exe'
        CommandLine|contains: 'bash'
    condition: selection
level: medium

10.2 YARA 规则

rule Qilin_Ransomware {
    meta:
        description = "Detects Qilin ransomware samples"
        author = "Threat Intelligence Team"
        date = "2026-06-19"
        hash = "e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527"
    
    strings:
        $mz = { 4D 5A }
        $rust = "rustc" ascii
        $qilin = "Qilin" ascii
        $agena = "Agenda" ascii
        $cloudflariz = "cloudflariz.com" ascii
        $vssadmin = "vssadmin delete shadows" ascii
        $chrome = "Login Data" ascii
        
    condition:
        $mz at 0 and 3 of ($rust, $qilin, $agena, $cloudflariz, $vssadmin, $chrome)
}

十一、风险评估矩阵

11.1 威胁能力评估

能力维度	评分（1-5）	说明
技术复杂度	5	Rust 重写、Chrome 窃取、WSL 滥用、BYOVD、多平台加密
运营成熟度	5	完整 RaaS 平台、“Call Lawyer"谈判、Tor+Clearnet DLS
资源水平	5	1,888+ 受害者、5000万美元+年收入、吸收多个组织成员
攻击速度	4	初始访问到数据外传仅需数天
隐蔽性	4	Themida 加壳、WSL 滥用、安全模式重启
适应性	5	Go→Rust 重写、持续吸收其他组织成员、快速恢复
总体威胁等级	🔴 极高	4.7/5

11.2 受害者风险评估

风险因素	概率	影响	风险等级
数据永久丢失	极高	极高	🔴 极高
数据公开泄露	高	极高	🔴 极高
业务中断	极高	极高	🔴 极高
合规处罚	高	高	🔴 高
员工诉讼	高	高	🔴 高
舆情危机	高	高	🔴 高
供应链扩散	中	高	🟡 中

十二、缓解建议

12.1 战略层建议（长期）

优先级	建议	说明
P1	建立不可变备份体系	离线 + 不可变 + 定期测试恢复
P1	零信任架构转型	最小权限、微隔离、持续验证
P2	网络分段	IT/OT 分离、关键资产隔离
P2	身份安全强化	密码less MFA、PAM、条件访问
P3	威胁情报共享	加入 ISAC、共享 IOC
P3	安全意识培训	钓鱼模拟、社工防御

12.2 运营层建议（中期）

优先级	建议	说明
P1	漏洞管理强化	72小时内修补高危漏洞（FortiGate、Veeam、SAP、Citrix）
P1	EDR 全覆盖	所有端点部署 EDR，启用防篡改
P2	攻击面管理	定期扫描公网暴露资产
P2	凭证轮换	90天轮换、禁用默认凭证、禁用 NTLMv1
P3	日志集中管理	SIEM、不可变日志、保留90天+
P3	事件响应演练	季度桌面推演、年度实战演练

12.3 战术层建议（立即执行）

针对 FortiGate/Veeam/SAP 用户

# 1. 立即检查并修补漏洞
# FortiGate: 升级至 7.0.17+ 或 7.2.13+
# Veeam: 应用最新安全补丁
# SAP: 应用 CVE-2025-31324 补丁

# 2. 审计已创建账户
# 检查异常管理员账户

# 3. 全量轮换 VPN 凭证
# 特别是暴露在公网的 VPN 凭证

# 4. 禁用不必要的远程服务
# 禁用 RDP、WinRM、SMB 公网暴露

针对已感染环境

# 1. 隔离受感染主机
netsh advfirewall firewall set rule group="remote desktop" new enable=no
netsh advfirewall firewall set rule group="file and printer sharing" new enable=no

# 2. 检查异常进程
# 查找 w.exe、main.exe 等可疑进程

# 3. 检查注册表启动项
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"

# 4. 检查影子副本
vssadmin list shadows

# 5. 检查 Chrome 凭据是否被窃取
# 检查 Login Data 文件访问记录

# 6. 检查 WSL 调用记录
# 检查异常的 bash/wsl.exe 调用

# 7. 收集取证数据

12.4 解密恢复路径

场景	可行路径	成功率	建议
有离线备份	备份恢复	极高	✅ 最可靠
无备份	等待执法行动	极低	⏳ 持续监控
考虑付费	—	不推荐	❌ 强烈不建议

⚠️ 重要提示：截至2026年6月，无公开可用的 Qilin 解密工具。

十三、核心建议（优先级排序）

立即：修补所有 FortiGate、Veeam、SAP、Citrix 的高危漏洞
立即：禁用 NTLMv1，强制 MFA
24小时内：审计所有远程访问凭证，轮换 VPN 凭证
48小时内：部署不可变备份 + 离线隔离策略
1周内：全面攻击面扫描，关闭不必要的公网暴露

附录

附录 A：权威信息源索引

#	来源	说明
1	CISA	Qilin 顶级勒索威胁 Q2 2025
2	MOXFIVE	Qilin Ransomware 2026 TTPs
3	Qualys	Qilin 技术分析
4	ThreatLocker	Qilin 防御指南
5	SOCRADI	Qilin 攻击链分析
6	DeXpose	Qilin 漏洞利用分析
7	SANS/Group-IB	Qilin 威胁情报
8	KELA	Qilin RaaS 运营分析
9	Darktrace	Qilin 网络检测
10	Picus Security	Qilin 攻击路径
11	Huntress	Qilin 检测规则
12	Cyber Florida	Qilin 受害者分析
13	CARICERT	Qilin 地理分布
14	MITRE ATT&CK	S1242
15	安恒信息	Qilin 中文分析
16	FreeBuf	Qilin 中文报道
17	安全内参	Qilin 中文情报

附录 B：术语表

术语	定义
RaaS	Ransomware-as-a-Service，勒索软件即服务
DLS	Data Leak Site，数据泄露站
BYOVD	Bring Your Own Vulnerable Driver，自带漏洞驱动
LOTL	Living Off The Land，利用系统自带工具
C2	Command and Control，命令与控制
IOC	Indicator of Compromise，入侵指标
TTP	Tactics, Techniques, and Procedures，战术、技术和程序
IAB	Initial Access Broker，初始访问代理
BEC	Business Email Compromise，商业邮件欺诈
PtH	Pass-the-Hash，传递哈希攻击
WSL	Windows Subsystem for Linux
CIS	Commonwealth of Independent States，独联体

附录 C：持续跟踪计划

本页面将作为 Qilin 组织的长期跟踪情报页面，持续更新以下内容：

新受害者案例与攻击事件
新发现的 IOC 与检测规则
组织基础设施变动
解密工具进展
执法行动与归因更新
组织内部变动与品牌重塑
与其他勒索组织的联盟关系变化

报告修订历史

版本	日期	修订内容
v1.0	2026-06-19	初始发布

免责声明：本报告基于公开来源情报编制，仅供信息参考。本报告中的信息按"原样"提供，不对其准确性、完整性或适用性作任何明示或暗示的保证。使用本报告中的信息需自行承担风险。

分类等级说明：TLP:AMBER - 信息可在组织内部共享，但不可公开发布。