Aktor ancaman dengan ikatan dengan Qilin Keluarga Ransomware telah memanfaatkan malware yang dikenal sebagai SmokeLoader bersama dengan .NET yang sebelumnya tidak dikompilasi loader codeneN dengan NetXLoader sebagai bagian dari kampanye yang diamati pada November 2024.
“NetXLoader adalah pemuat berbasis .NET baru yang memainkan peran penting dalam serangan cyber,” peneliti mikro tren Jacob Santos, Raymart Yambot, John Rainier Navato, Sarah Pearl Camiling, dan Neljorn Nathaniel Aguas mengatakan dalam analisis Rabu.
“Sementara tersembunyi, secara diam -diam menggunakan muatan berbahaya tambahan, seperti agenda ransomware dan smokeLoader. Dilindungi oleh .NET Reactor 6, NetXLoader sulit dianalisis.”
Qilin, juga disebut Agenda, telah menjadi ancaman ransomware aktif sejak muncul dalam lanskap ancaman pada Juli 2022. Tahun lalu, perusahaan cybersecurity Halcyon menemukan versi yang lebih baik dari ransomware yang dinamai Qilin.B.
Data terbaru yang dibagikan oleh Group-IB menunjukkan bahwa pengungkapan di situs kebocoran data Qilin telah dua kali lipat sejak Februari 2025, menjadikannya grup ransomware teratas untuk April, melampaui pemain lain seperti Akira, Play, dan Lynx.
“Dari Juli 2024 hingga Januari 2025, afiliasi Qilin tidak mengungkapkan lebih dari 23 perusahaan per bulan,” kata perusahaan cybersecurity Singapura itu akhir bulan lalu. “Namun, […] Sejak Februari 2025 jumlah pengungkapan telah meningkat secara signifikan, dengan 48 pada bulan Februari, 44 pada bulan Maret dan 45 pada minggu -minggu pertama April. “
Qilin juga dikatakan mendapat manfaat dari masuknya afiliasi setelah shutdown tiba -tiba Ransomhub pada awal bulan lalu. Menurut Flashpoint, Ransomhub adalah kelompok ransomware aktif paling kedua pada tahun 2024, mengklaim 38 korban di sektor keuangan antara April 2024 dan April 2025.
“Aktivitas agenda ransomware terutama diamati di sektor perawatan kesehatan, teknologi, jasa keuangan, dan telekomunikasi di seluruh AS, Belanda, Brasil, India, dan Filipina,” menurut data tren mikro dari kuartal pertama tahun 2025.
NetXLoader, perusahaan cybersecurity mengatakan, adalah loader yang sangat terkalahkan yang dirancang untuk meluncurkan muatan tahap berikutnya yang diambil dari server eksternal (misalnya, “BlogLake7[.]CFD “), yang kemudian digunakan untuk menjatuhkan smokeloader dan agenda ransomware.
Dilindungi oleh .NET Reaktor Versi 6, ini juga menggabungkan sejumlah trik untuk memotong mekanisme deteksi tradisional dan menahan upaya analisis, seperti penggunaan teknik pengait just-in-time (JIT), dan nama metode yang tampaknya tidak berarti, dan pengayaan pengamatan aliran.
“Penggunaan NetXloader operator adalah lompatan besar ke depan dalam bagaimana malware dikirimkan,” kata Trend Micro. “Ini menggunakan loader yang sangat dikaburkan yang menyembunyikan muatan yang sebenarnya, yang berarti Anda tidak dapat tahu apa sebenarnya tanpa menjalankan kode dan menganalisisnya dalam memori. Bahkan analisis berbasis string tidak akan membantu karena kebingungan mengacak petunjuk yang biasanya akan mengungkapkan identitas payload.”
Rantai serangan telah ditemukan untuk memanfaatkan akun yang valid dan phishing sebagai vektor akses awal untuk menjatuhkan NetXloader, yang kemudian menggunakan Smokeloader pada host. Malware SmokeLoader berjalan untuk melakukan serangkaian langkah untuk melakukan virtualisasi dan penggelapan kotak pasir, sambil secara bersamaan mengakhiri daftar proses berjalan yang dikodekan dengan keras.
Pada tahap akhir, SmokeLoader membuat kontak dengan server perintah-dan-kontrol (C2) untuk mengambil NetXloader, yang meluncurkan agenda ransomware menggunakan teknik yang dikenal sebagai pemuatan DLL reflektif.
“Grup agenda ransomware terus berkembang dengan menambahkan fitur baru yang dirancang untuk menyebabkan gangguan,” kata para peneliti. “Targetnya yang beragam meliputi jaringan domain, perangkat yang dipasang, sistem penyimpanan, dan vCenter ESXi.”
