O grupo Qilin se consolidou como uma das maiores e mais perigosas ameaças do cenário de ransomware global, apoiando-se em uma infraestrutura avançada de hospedagem à prova de balas para ataques a setores diversos, incluindo saúde, governos, infraestrutura crítica e empresas de gestão de ativos. Atuando sob o modelo Ransomware-as-a-Service (RaaS), o grupo utiliza variantes em Golang e Rust para orquestrar ataques multiplataforma, envolvendo técnicas como spear phishing, uso de ferramentas RMM e exploração de persistência para evasão.
Leia também
Pixnapping extrai dados sensíveis no Android
SAP corrige falhas graves
Não ataquesQilin pratica dupla extorsão: criptografa os dados das vítimas e exfiltra informações sensíveis, instruções pelo pagamento de resgates. Seu painel RaaS permite fácil configuração de ataques por afiliados, além da manutenção de um site de vazamento de dados na rede Tor. Operações recentes revelam laços estreitos com conglomerados de hospedagem à prova de balas originados em portões russos e empresas de Hong Kong, que garantem anonimato e resiliência às tentativas de interrupção por parte das autoridades.
Esses provedores de hospedagem à prova de balas operam em jurisdições pró-privacidade e por meio de uma rede complexa de empresas fictícias distribuídas globalmente, dificultando rastreamento e responsabilização. Endereços de IP frequentemente trocados e ausência de controles KYC (Know Your Customer) aumentam o anonimato, sendo identificados como infraestrutura para outros malwares e grupos criminosos. Sanções recentes do Tesouro americano visaram parte dessa rede, sem sucesso na interrupção completa das atividades.
A estrutura do Qilin exemplifica como grupos de ransomware evoluíram para usar ecossistemas resilientes “à prova de balas”, adaptando operações e rebranding constantes para driblar investigações e manter ataques em escala global.
