Giderek daha üretken bir hizmet olarak fidye yazılımı (RaaS) operasyonu olan Qilin fidye yazılımı, kurşun geçirmez barındırma (BPH) sağlayıcılarından oluşan gizli bir ağdan yararlanarak küresel gasp kampanyalarını yoğunlaştırdı.
Merkezi genellikle gizlilik dostu bölgelerde bulunan ve labirent benzeri paravan şirket yapıları aracılığıyla işletilen bu hileli barındırma hizmetleri, Qilin operatörlerinin ve bağlı kuruluşlarının kötü amaçlı yazılımları, veri sızıntısı sitelerini ve komuta ve kontrol altyapısını neredeyse dokunulmazlıkla barındırmasına olanak tanıyor.
Eylül ayı sonlarında Qilin, Japon bira devi Asahi Group Holdings’i yaklaşık iki hafta boyunca felce uğratan bir saldırının sorumluluğunu üstlendi ve bu gizli barındırma çerçevesinin gerçek dünyadaki etkisinin altını çizdi.
Qilin, 2022 ortalarında “Agenda” adı altında ortaya çıktığından beri, bağlı kuruluşlara saldırıları yapılandırmak, kurbanları yönetmek ve fidye pazarlığı yapmak için kullanıcı dostu bir web paneli sunan gelişmiş bir RaaS platformuna dönüştü.
Çetenin çekirdek geliştiricileri, Golang ve Rust’ta yazılmış fidye yazılımı kod tabanını koruyor ve uluslararası bir bağlı kuruluş ağına hedef odaklı kimlik avı araç setleri, uzaktan izleme ve yönetim (RMM) açıklarından yararlanma ve çifte gasp yetenekleri sağlıyor.
Bağlı kuruluşlar fidye ödemelerinin çoğunluğunu (genellikle yüzde 80-85) elinde tutarken, operatörler yüzde 15-20’lik bir kesintiyi elinde tutuyor.
Qilin’in dayanıklılığının temelinde sıfır müşterini tanı kontrolü, suiistimali düzeltmeme ve kolluk kuvvetlerinin müdahalelerine karşı direnç vaat eden kurşun geçirmez barındırma sağlayıcılarına olan güveni yatmaktadır.
Nisan 2024’te, Qilin’in Tor tarafından barındırılan veri sızıntısı sitesi, Hong Kong’daki Cat Technologies Co. Limited’e ve Saint Petersburg’daki Red Bytes LLC’ye (yönetmen Lenar Davletshin tarafından yönetilen bir BPH holdinginin içinde yer alan şirketler) bağlı IP adreslerine referans veriyordu.
Bu kurum 26.000’den fazla personel çalıştırıyor ve 1,5 milyar dolarlık bir bütçeyle faaliyet gösteriyor ve hem özel sektörden hem de kamu sektöründen büyük miktarda veri işliyor.
BearHost (artık voodoo_servers olarak yeniden markalanmıştır), Chang Way Technologies ve IPX-FZCO gibi diğer barındırma markaları, genellikle kötü amaçlı keşif için tasarlanmış adresleri, yöneticileri veya otomatik tarama sunucularını paylaşarak Qilin’in altyapısına bağlanmıştır.
Bu BPH operatörleri, şeffaflıktan kaçınmak ve raporlamayı kötüye kullanmak için Kıbrıs, Rusya ve Hong Kong’da paravan kuruluşlar kurarak küresel düzenleyici arbitrajdan yararlanıyor.
Asahi Grubu Kesintiyi Vurguladı
29 Eylül 2025’te Qilin, fidye yazılımını Japonya’nın en büyük içecek üreticisi Asahi Group Holdings’e yaydı.
Değerlendirmemize göre, kötü amaçlı bulaşmaların geçmiş göstergelerine dayanarak, güvenlik ihlalinin temel nedeni, personelin dahil olduğu güvenli olmayan uzaktan erişim ve iş e-postası ihlali (BEC) olabilir.
Saldırı, 30 fabrikada dijital sipariş işlemeyi, üretim planlamayı ve sevkıyatı felç ederek Asahi’yi manuel, kağıt bazlı sipariş yerine getirmeye zorladı.
Büyük perakendeciler ve restoranlar ülke çapında Asahi ürünlerinde kıtlık olduğunu bildirdi ve şirket 12 yeni ürünün piyasaya sürülmesini erteledi.
Asahi, yaklaşık 27 GB’lık veri sızıntısını doğruladı ve kesintinin devam etmesi halinde yurt içi faaliyet kârında yüzde 83’lük bir düşüşle karşı karşıya kaldı. Ekim ortasında Qilin, kurbanı üzerindeki baskıyı hızlandırmak için aracıları atlayarak çalınan veriler için 10 milyon dolar talep etti.
Bu olay, küresel araç montaj hatlarını durduran ve tahmini satış kaybı olarak günlük 72 milyon £’a mal olan Jaguar Land Rover’a yapılan Trinity of Chaos saldırısıyla benzerlik taşıyor.
Qilin’in yüksek değerli üretimi ve kritik altyapıyı hedeflemesi, çetenin kesintilerin maksimum operasyonel ve finansal hasara yol açtığı sektörlere stratejik olarak odaklandığının altını çiziyor.
Küresel Genişleme ve Gelecekteki Tehditler
Qilin, Ekim 2025 boyunca Avrupa, Kuzey Amerika, Afrika ve Asya’da yeni kurbanları duyurdu.
Artık Rusça konuşulan ve Hong Kong yetki alanlarını kapsayan bir yeraltı holdingi altında birleşen Qilin ve BPH operatörleri arasındaki simbiyotik ilişki, siber güvenlik savunucuları için zorlu bir zorluk teşkil ediyor.
Son zamanlarda yapılan açıklamalar arasında İspanya Vergi İdaresi Ajansı, birkaç ABD belediyesi ve sağlık hizmeti sağlayıcısı, Fransız belediye organları ve Afrika sigorta teknolojisi firmaları yer alıyor.
Grup, kritik tedarik zincirlerinde büyük kamu sektörü kuruluşları ile özel girişimler arasında bir denge kurarak hedeflerini çeşitlendiriyor gibi görünüyor.
Kuzey Koreli aktörlerin geçmişte işe alınması, Qilin’in yabancı bağlı kuruluşları entegre etme istekliliğini vurguluyor ve devlet destekli veya bağımsız erişim komisyoncularıyla işbirliğinin geliştiğini gösteriyor.
Bu barındırma ekosistemlerinin bozulması, BPH hizmetlerinin temelini oluşturan paravan şirketler üzerinde koordineli uluslararası kanun yaptırımı ve düzenleyici baskı gerektirecektir.
O zamana kadar Qilin, daha yüksek etkili fidye yazılımı kampanyaları için bu hayalet barındırma platformlarından yararlanmaya hazır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.