Ошибка операционной безопасности раскрыла методы аффилированной с Qilin группы: атаки через VPN-устройства и более 1700 жертв

В середине декабря 2025 года аналитики команды Ctrl-Alt-Intel зафиксировали серьёзный провал в операционной безопасности одного из аффилированных лиц Qilin. Этот участник преступной схемы, действовавший по меньшей мере с августа 2025 года, оставил открытой директорию на своём сервере, где хранил конфиденциальные данные, включая конфигурации вредоносного инструментария, логи и сами бинарники. Ошибка оказалась не единичной: с декабря 2025 по март 2026 года эксперты обнаружили пять таких открытых директорий, принадлежащих одному и тому же злоумышленнику. Это дало редкую возможность восстановить полную картину его действий - от начального проникновения до финального шифрования.

Как показал анализ отчёта Ctrl-Alt-Intel, основной способ получения доступа для этого аффилированного лица - эксплуатация уязвимостей в корпоративных VPN-устройствах, прежде всего WatchGuard и Fortinet. Для закрепления в сети жертв использовался фреймворк Sliver (инструмент для управления командными серверами и контроля заражённых систем), а также утилита Chisel для создания обратных туннелей SOCKS. С помощью этих инструментов злоумышленник обходил стандартные средства защиты периметра и добирался до внутренней инфраструктуры, где запускал бинарники Qilin, способные шифровать данные на Linux, ESXi (система виртуализации VMware) и Nutanix AHV (гипервизор от Nutanix). В общей сложности исследователи выявили не менее семи уязвимостей нулевого дня или известных прорех, которые эксплуатировала эта группа: CVE-2025-9242 и CVE-2025-14733 (WatchGuard), CVE-2025-59718 (FortiOS), CVE-2025-40554 (SolarWinds HelpDesk) и другие.

Особый интерес представляет тактика работы с устройствами WatchGuard. Злоумышленник сканировал IP-адреса в поисках открытого порта 500 (IKE-сервис) и запускал эксплойт, который заставлял атакуемое устройство подключиться к управляющему серверу. После получения оболочки он загружал на устройство бинарник Sliver, затем снимал конфигурацию VPN (файл config.xml) и устанавливал обратный туннель, чтобы получить доступ к внутренней сети. Всего зафиксировано более 1900 попыток эксплуатации против 918 уникальных IP-адресов. Почти 72% целей находились в Германии, ещё 28% - в США. Такое распределение указывает на оппортунистический характер атак: преступники работали по широкому списку открытых устройств, не фокусируясь на конкретной отрасли.

Среди подтверждённых жертв, чьи названия совпали с именами бинарников Qilin в открытых директориях, - немецкий производитель научных приборов KRÜSS Scientific, американский производитель электроники Z-Tronix и поставщик дата-центров Quasar Data. Кроме того, в конфигурациях файерволов и VPN, обнаруженных на серверах злоумышленника, фигурировали ещё как минимум пять американских компаний из сфер здравоохранения, IT, энергетики и образования. Хотя не все они оказались в публичном списке жертв Qilin, сам факт утечки их настроек периметра говорит о том, что атаки на эти организации были либо успешны, либо находились на продвинутой стадии.

Важно подчеркнуть, что использование Sliver и Chisel на устройствах сетевого периметра - не новая, но от этого не менее опасная тактика. Файрволы, VPN-концентраторы и другие граничные устройства обычно не оснащены полноценными средствами обнаружения вторжений или антивирусной защитой, что создаёт слепую зону для служб информационной безопасности. Злоумышленник может долгое время оставаться незамеченным внутри сети, собирая данные или готовя почву для развёртывания программы-вымогателя.

Исследователи отмечают, что аффилированное лицо Qilin, допустившее утечку, продолжает допускать те же самые ошибки на протяжении нескольких месяцев. Благодаря этому команде Ctrl-Alt-Intel удалось отследить целых пять различных серверов управления и изучить эволюцию их инструментария. В частности, в феврале 2026 года был найден ещё один открытый каталог с четырьмя новыми бинарниками Qilin, который может принадлежать другому исполнителю, но использует ту же версию программы-вымогателя. Это говорит о масштабе экосистемы Qilin, где разные участники работают по схожим шаблонам.

Для организаций, использующих VPN-устройства WatchGuard и Fortinet, главный вывод очевиден: необходимо своевременно устанавливать обновления безопасности и, по возможности, ограничивать доступ к интерфейсам управления из внешней сети. Кроме того, стоит внедрять дополнительный мониторинг аномальной активности на самих устройствах периметра - например, появление новых процессов или нестандартных сетевых соединений.

Операционная ошибка одного преступника позволила приоткрыть завесу над методами целой крупной группировки. Однако, учитывая огромное количество жертв Qilin и постоянное появление новых аффилированных лиц, расслабляться рано. Пока периметровые устройства остаются уязвимыми, такие атаки будут продолжаться, а каждая новая утечка данных - лишь вопрос времени.

IPv4

• 144.208.127.61
• 185.196.11.235
• 185.208.158.147
• 194.59.30.9
• 23.27.140.108
• 23.27.143.170
• 31.57.147.229
• 31.57.38.155
• 45.32.216.250
• 79.110.49.146

URLs

• 144.208.127.61\chisel
• 144.208.127.61\forti\serverPOST.py
• 144.208.127.61\serverPOST.py
• 185.196.11.235\chisel
• 185.196.11.235\client_31.57.147.229.cfg
• 185.196.11.235\events.py
• 185.196.11.235\fos
• 185.196.11.235\kruss
• 185.196.11.235\serverPOST.py
• 185.196.11.235\test.py
• 185.196.11.235\Y_23.27.140.108.cfg
• 185.208.158.147\chisel
• 185.208.158.147\HariAdm_185.208.158.147.cfg
• 185.208.158.147\serverPOST.py
• 185.208.158.147\sliver
• 185.208.158.147\TargetInfoPrinter.py
• 194.59.30.9\fos
• 194.59.30.9\qusar
• 194.59.30.9\s_main
• 194.59.30.9\sssd
• 194.59.30.9\tron
• 45.32.216.250_443\linux
• 45.32.216.250_443\locker
• 45.32.216.250_443\test\esxi
• 45.32.216.250_443\test\gra_linux
• 45.32.216.250_443\test\linux
• 45.32.216.250_443\test\rclone_linux
• 45.32.216.250_443\test\sbise

Onion Domains

• 3uteer64gvygdnjbdajmg7qidpspiucifa42fpfx63tdnqzpjbqdnjqd.onion
• caxtv5fnuidtcnmnbr7tb2v2zz75gkrpsa6dfaj2lxk3ylxipbi5klad.onion
• ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion
• jgky27wbidsvpblonrn3gy2ep265hazqyablovpukgav52bv2trlu3id.onion
• kbsqoivihgdmwczmxkbovk7ss2dcynitwhhfu5yw725dboqo5kthfaad.onion
• os7yir2k4yzdg32h2vrjyj6woo6jpo5wty44mkojfs36wr4hsxbswlad.onion
• qde2yglcehbwnpsdrfdkkyd5elfaopfxky2bwpo3jizdrctmw6bld3ad.onion
• remqvwjjx422lrvv5tuqsayh4vuorlioleipdt7zkvparlamwfwdbyyd.onion
• sfnqkt2tffq3vuzshe4gd6glav2tfn235b3s6yoabiaeccsog5pdoaqd.onion
• yxaxsxdy3gz64ylh4jdjf3gliawpwe5dqvkv6t3ehgkhbrekt4dma7id.onion

SHA256

• 2495c8024bf0497bd5faf70b6c99ce4bf52350b8a7fcfb7de8e66d3966e84a55
• 2d49ad1dae92372fb2c4b696eae35bd982b88d88fc1a0d449a2277eca70307ba
• 3b06e9166a5771130e343e3d1015e554b5f7217d3586cd3e5bb997f4a81089e8
• 51ccbfe5321c6c27ef38f491e5aa00e38ecdbebe8d0ecb0b8760c765749554bf
• 5df410797d8f089fdd0e902f3e765e9732d780329f2435052c7797bb2c2f67fb
• 6443840672133954b6c1f573e0e58645ee02b5a0a7cb60e0872690af4475e6d1
• 75fc431ce030047e6dafc6c5d787ef5d8a4a23c9da3ba8fb239d869d46784dc7
• 9588446206f405a539761d4743d48ab2dec20ae69a9c91ff57a139ece60504b5
• 9f7fd7f9b7929f30d15c7f18bd782a93e7bd5145f2178d3a00f5187bdab36e86
• a680fccf236397499371932c736ec5de8ba8e7db10b98f821ca4a5609b178e6e
• a83724ecd01a024fb0b6c8fb247c8414b881dab3bd49ae6b82cc30fe1671ef2a
• b0c38a85ecfe773eafcdcf8e7e507649fb64b122a48de5d3d9121f2bcca8eea0
• c599dd1af4c13993aa1746a55aa1c7e9ad0aa0d56659e3d4b43d7d5a22698266
• c73ae27924d0335dfc4d172cba31458ffecece80dc27e7b2ab6fc7c41fd2ae29
• c9a9d563edd2d7c3b80e70e0c324895fdb5f849076e66a25457c22901f18ac3d
• d82069cfc9395a240b9c140d283367ab470d587326c5e256aba78eb2c5a9ea85
• d8f1f3414610841c56d176545ada03f7ad0fd063bfbaf9f33e20e88bb53adf19
• dc9f6a3a6d769b9af3b6972542960ccf43326280ed2732ad12d6700446908ace
• e862d9792d116f1da8139c58abb10e18feea38b524055c1e3cc73f8bdb65a9af
• e95fb018308751a380a7b48c11e365c6452ee87b11bcac80df791b09f2c4d867
• eb00ddfa8acc4bed939ba77ca23af5396ca406c8bb0c14ee79932c6d00bb16f3
• fa865b9544acfbe0d5fa9985edfce7e24bdaec4d8aa813bbf1ae9891ad52c517