LeMagIT

Actualites

Qilin : la franchise qui monte, déjà dans la tourmente ?

L’enseigne de rançongiciel Qilin connaît une progression fulgurante de son niveau d’activité observable depuis le début de l’année. Mais des signes d’instabilité ont récemment fait leur apparition.

Valéry Rieß-Marchive
par
Publié le: 28 mai 2025

L’enseigne Qilin, ce sont près de 465 victimes revendiquées depuis l’automne 2022, à un rythme historiquement modéré, de l’ordre d’une vingtaine par mois courant 2024.

Le rythme de revendications sous cette marque s’est toutefois nettement accéléré depuis le printemps.

Début avril, en l’espace d’une semaine, une vingtaine de revendications ont ainsi fait leur apparition sur son site vitrine, pour un total de plus de 72 victimes estimées et/ou confirmées au cours de ce mois-là.

L’analyse des dates mentionnées dans les noms des fichiers volés aux victimes des affidés de l’enseigne, et dans certains cas leurs dates de création, suggérait qu’une part significative de ces victimes avait été effectivement attaquée entre août et décembre 2024. Autrement dit : des affidés venus d’autres enseignes étaient venus gonfler les rangs de Qilin.

Mais le vent a peut-être tourné. Plusieurs éléments le suggèrent, malgré l’apparition, encore tout récemment, de nouvelles revendications.

Tout d’abord, il y a l’infrastructure de divulgation de données volées de Qilin. Elle n’a pas toujours brillé par sa stabilité – au point qu’au moins un affidé préférait divulguer directement les données volées à ses victimes sur des sites Web accessibles Tor, plutôt que sur les serveurs FTP de l’enseigne. Au moment où sont écrites ces lignes, ces serveurs sont inaccessibles.

Schéma de l'historique des revendications sous la marque Qilin au cours des 12 derniers mois.
Historique des revendications sous la marque Qilin au cours des 12 derniers mois. Nous atteignons un taux moyen 58,6 % de revendications assorties d'une date de survenue d'attaque estimée et/ou confirmée.

Il n’est pas exclu qu’ils redeviennent accessibles, comme ils l’ont déjà fait par le passé. Mais contiendront-ils les données d’autant de victimes ? Ce n’est pas sûr. Car de nombreuses victimes se sont récemment volatilisées du site vitrine de Qilin : seules 35, réparties sur deux pages, sont désormais présentées.

Schéma de la reconstruction de l'activité estimée associée à l'enseigne Qilin au cours des douze derniers mois.
Reconstruction de l'activité estimée associée à l'enseigne Qilin au cours des douze derniers mois.

Mais en réalité, seules 30 revendications sont effectivement accessibles. Tenter d’accéder aux pages de toutes les autres est gratifié d’une erreur 403. La plus ancienne revendication encore accessible sur le site vitrine de Qilin, à l’heure où sont publiées ces lignes, remonte au 15 avril dernier.

Les raisons de ces disparitions nous sont pour l’heure inconnues et Qilin semble aux abonnés absents sur Tox. De la querelle d’affidés à la perte d’infrastructure, quelles que soient les raisons de cette situation, cette dernière est susceptible d’altérer la confiance des acteurs associés à l’enseigne. L’un d’entre eux nous a déjà indiqué avoir pris le large.

Pour approfondir sur Menaces, Ransomwares, DDoS