NEVER try to fuck A FUCKER
Übersicht mit KI
Die Qilin-Gruppe (früher bekannt als Agenda) ist eine hochaktive, russischsprachige Ransomware-as-a-Service (RaaS)-Operation, die seit Mitte 2022 operiert und sich zu einer der dominanten Bedrohungen im Jahr 2025 entwickelt hat. Die Gruppe ist für ihre spezialisierten, KI-gestützten Angriffe und ihre Verbindungen zu staatlichen Akteuren bekannt, die die Linie zwischen Cyberkriminalität und Spionage verwischen. Halcyon +4Hier ist eine detaillierte Übersicht:1. Qilin-Gruppe und KI-gestützte Phishing-Kits Qilin nutzt fortschrittliche Angriffswerkzeuge, um Multi-Faktor-Authentifizierungen (MFA) zu umgehen und schnell Netzwerke zu infizieren.
- Entwickelte Angriffskits: Qilin-Affiliates nutzen hochentwickelte Kits, die auf evilginx (einem Open-Source-Framework für Adversary-in-the-Middle-Angriffe) basieren, um Anmeldedaten und Session-Cookies abzugreifen, selbst wenn MFA aktiv ist.
- KI-gestützte Phishing-Methoden (2025): Moderne Phishing-Kits in Qilin-Kampagnen setzen KI ein, um personalisierte Köder-E-Mails in Industrieeffizienz zu erstellen und Sicherheitsfilter zu umgehen.
- Doppelte Erpressung & Spezialisierung: Qilin ist für seine „Double Extortion“-Taktik bekannt – Daten werden nicht nur verschlüsselt, sondern auch gestohlen (Exfiltration). Zudem sind ihre Payloads anpassbar (in Go und Rust geschrieben), um gezielt Linux- und VMware ESXi-Server anzugreifen.
- Neue Chrome-Technik: Qilin hat Techniken entwickelt, um Anmeldedaten direkt aus Google Chrome mittels Gruppenrichtlinienobjekten (GPOs) zu stehlen.
HHS.gov +5
2. Gezielte Nutzung durch Geheimdienste (State-Sponsored Nutzung)Die Qilin-Gruppe wird von Sicherheitsforschern stark mit russischen staatlichen Interessen in Verbindung gebracht, und es gibt Belege für eine Zusammenarbeit mit anderen staatlich unterstützten APT-Gruppen (Advanced Persistent Threat). SANS Institute +1
- Symbiose mit APTs (North Korea/Moonstone Sleet): Im Jahr 2025 wurde beobachtet, dass Qilin-Infrastruktur von nordkoreanischen staatlich unterstützten Hackern (Moonstone Sleet) genutzt wurde, was eine seltene Kooperation zwischen kommerzieller RaaS und staatlichem APT darstellt.
- Verwicklung in Cyber-Spionage: Qilin operiert oft nicht nur aus finanziellem Interesse. Es gibt Anzeichen, dass die Gruppe genutzt wird, um kritische Infrastrukturen (Energie, Gesundheitswesen, Regierung) zu stören, was den strategischen Interessen Russlands entspricht.
- Informationskrieg (WikiLeaks2): Qilin hat Projekte wie „Wikileaks2“ gestartet, bei denen gestohlene Daten gezielt veröffentlicht werden. Dies deutet auf eine Nutzung für Informationsoperationen hin, bei der kriminelle Infrastruktur verwendet wird, um politische Schäden anzurichten.
- „Call Lawyer“-Funktion zur Einschüchterung: Im Juni 2025 führte Qilin eine Funktion ein, die es Affiliates ermöglicht, einen „Anwalt“ im Verhandlungsportal aufzurufen. Dies erhöht den psychologischen Druck auf Opfer, erhöht aber auch das Risiko für Unternehmen durch rechtliche Erpressung, was typisch für staatlich gelenkte Cyber-Operationen ist, die maximale Störung anstreben. SANS Institute +4
3. Merkmale der Qilin-Angriffe
- Zielbranchen: Hauptziele sind Gesundheitswesen, Bildung, Finanzen und Fertigung.
- Schadensausmaß: Im Jahr 2024 war Qilin für den Angriff auf Synnovis in Großbritannien verantwortlich, der zu 1.100 abgesagten Operationen führte.
- RaaS-Modell: Qilin behält 15–20 % der Lösegelder ein und überlässt den Rest den „Affiliates“, was zu einer hohen Motivation für schnelle, effektive Angriffe führt.
Zusammenfassend lässt sich sagen, dass Qilin eine hochgradig angepasste Ransomware-Gruppe ist, die durch ihre KI-gestützten Fähigkeiten und ihre potenzielle Nutzung durch staatliche Akteure zu den gefährlichsten Bedrohungen des Jahres 2025 gehört.