Avec plus de 500 organisations victimes depuis janvier 2026, le groupe Qilin (ex-Agenda) s'est imposé comme l'opérateur de ransomware le plus actif de l'année. Sa dernière victime déclarée : Chamco, industriel canadien, ciblé le 30 juin 2026. Analyse des TTPs et des défenses.
En bref
- Qilin (ex-Agenda) revendique plus de 500 victimes depuis janvier 2026 et domine le classement RaaS mondial
- Dernier incident confirmé : Chamco, fabricant canadien, revendiqué le 30 juin 2026 avec menace de fuite de données
- Action requise : auditer les accès RDP exposés, sécuriser les portails VPN, surveiller les déploiements de GPO anormaux
Les faits
Le groupe cybercriminel Qilin, également connu sous son nom d'origine « Agenda », s'est imposé au cours du premier semestre 2026 comme l'opérateur de ransomware le plus actif à l'échelle mondiale. Avec plus de 500 organisations revendiquées comme victimes depuis janvier 2026 — selon les données de tracking publiées sur ransomware.live et Ransom-DB — le groupe dépasse largement ses concurrents habituels comme LockBit (dont l'infrastructure avait été perturbée par l'opération Cronos en 2024) et ALPHV/BlackCat (dont les opérateurs ont procédé à un exit scam fin 2024).
La dernière victime déclarée est Chamco, un industriel canadien du secteur de la fabrication et de la production. Le groupe Qilin a revendiqué l'attaque le 30 juin 2026 sur son site de fuite hébergé sur le darknet, menaçant de publier les données exfiltrées si Chamco n'engageait pas des négociations. La nature exacte et le volume des données volées n'ont pas encore été divulgués publiquement au 6 juillet 2026, mais les modes opératoires documentés de Qilin suggèrent une exfiltration préalable massive avant le déploiement du chiffreur.
Le secteur de la fabrication et de la production est la cible principale de Qilin en 2026, devant les services professionnels, le commerce de détail, la technologie et la construction. Les États-Unis représentent la plus forte concentration de victimes, suivis du Royaume-Uni, du Canada, de l'Australie et de l'Allemagne. Les organisations françaises ne sont pas épargnées, bien que les incidents soient moins systématiquement revendiqués sur les sites de fuite anglophones.
Qilin opère sur le modèle RaaS (Ransomware-as-a-Service) : les développeurs du groupe maintiennent le chiffreur et l'infrastructure de négociation, tandis que des affiliés — des opérateurs indépendants recrutés sur les forums cybercriminels — mènent les intrusions et touchent entre 70 % et 80 % de la rançon. Cette structure décentralisée rend le groupe particulièrement résistant aux opérations de démantèlement : même si un affilié est arrêté, les opérations continuent via les autres membres du réseau.
Les vecteurs d'accès initial documentés par les équipes de réponse à incident de Moxfive, CybelAngel et SOCRadar convergent sur deux catégories principales : l'exploitation de credentials compromis pour accéder à des services exposés (RDP, VPN SSL, Citrix) et l'exploitation de vulnérabilités dans des applications web ou des appliances réseau. Le groupe cible particulièrement les portails VPN non patchés et les serveurs RDP accessibles depuis Internet sans authentification multi-facteurs.
Une technique distinctive des affiliés Qilin, documentée depuis 2025 et toujours active en 2026, consiste à déployer un script PowerShell via une GPO (Group Policy Object) pour collecter les credentials sauvegardés dans Google Chrome sur l'ensemble des machines jointes au domaine. Le script extrait les logins, mots de passe et cookies de session stockés dans le profil Chrome de chaque utilisateur du domaine, offrant aux attaquants un inventaire de credentials qui va bien au-delà des ressources de l'organisation ciblée — ces credentials incluent souvent des accès à des services tiers, des banques en ligne et des plateformes SaaS.
Le modèle de double extorsion est systématique chez Qilin : exfiltration des données sensibles avant déploiement du ransomware. La menace de publication constitue un levier de pression indépendant du chiffrement — même si une victime dispose de sauvegardes fonctionnelles et peut restaurer ses systèmes sans payer, la menace de divulgation des données reste entière. Selon les analyses de BlackFog, environ 77 % des incidents de ransomware en 2025 incluaient une exfiltration de données, et Qilin en est l'un des illustrateurs les plus représentatifs.
L'ascension de Qilin au sommet du classement RaaS en 2026 s'explique en partie par un contexte d'écosystème favorable : avec la désintégration de LockBit et ALPHV fin 2024, de nombreux affiliés expérimentés ont migré vers d'autres plateformes. Qilin, qui proposait des conditions financières attractives et une infrastructure stable, a bénéficié de cet afflux de talents criminel. Le rapport Barracuda Networks de janvier 2026 documentait déjà cette montée en puissance, préfigurant la domination que le groupe exercera sur les premiers six mois de l'année.
Impact et exposition
Tout secteur industriel, toute PME avec un accès RDP ou VPN exposé sur Internet sans MFA, et toute organisation qui n'a pas segmenté ses sauvegardes du reste du réseau est potentiellement exposée aux affiliés Qilin. Le groupe ne cible pas exclusivement les grandes organisations : la capacité à payer et la présence de données exfiltrables sont les critères prépondérants. Les PME du secteur manufacturier, qui combinent souvent des systèmes IT vieillissants, des accès distants mal configurés et des données opérationnelles critiques, constituent des cibles particulièrement attractives.
Recommandations
- Auditer et fermer tous les accès RDP exposés directement sur Internet — derrière un VPN avec MFA ou via un bastion SSH/RD Gateway uniquement.
- Appliquer le MFA sur tous les accès VPN SSL et Citrix sans exception — c'est le premier contrôle qui stoppe les attaques par credential stuffing.
- Surveiller les créations et modifications de GPO anormales dans Active Directory — un GPO non planifié déployant un script PowerShell est un signal d'alarme critique.
- Isoler les sauvegardes du reste du réseau via un réseau hors-bande ou une solution immuable avec politique WORM, et tester régulièrement leur restauration.
- Déployer des règles EDR et SIEM ciblant les comportements de Qilin : exécution de scripts PowerShell encodés, accès massif aux fichiers via les partages réseau, chiffrement de volumes en série, communications C2 non répertoriées.
Si Qilin a déjà exfiltré nos données avant de chiffrer, payer la rançon garantit-il qu'elles ne seront pas publiées ?
Non — c'est l'un des mensonges fondamentaux du modèle de double extorsion. Aucune garantie contractuelle n'existe avec des criminels. Des groupes ont publié des données de victimes ayant payé, parfois des mois après la résolution d'un incident. La décision de payer doit impliquer des juristes, des assureurs cyber et être évaluée au cas par cas en tenant compte du contexte légal, notamment les réglementations sur le paiement de rançons qui évoluent en Europe.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
KDDI : fuite de 14,2 millions de comptes email via six FAI japonais
KDDI a révélé le 23 juin 2026 une compromission de son infrastructure email partagée avec cinq autres FAI japonais. Jusqu'à 14,22 millions d'adresses email et mots de passe ont été exposés suite à l'exploitation d'une faille dans un logiciel tiers non identifié. Réinitialisation des mots de passe recommandée d'urgence pour les abonnés STNet, JCOM, Nifty, BIGLOBE, KDDI Web Communications et Chubu Telecom.
SharePoint RCE CVE-2026-45659 : exploitation active, la CISA sonne l'alarme
La CISA a ajouté le 2 juillet 2026 la vulnérabilité CVE-2026-45659 à son catalogue KEV après confirmation d'exploitation active par le groupe Storm-2603. Cette faille de désérialisation RCE (CVSS 8.8) dans SharePoint Server 2016, 2019 et SPSE est patchée depuis mai 2026 — mais de nombreuses organisations n'ont pas encore appliqué la mise à jour.
Google et FBI démantèlent NetNut, 2 M d’appareils libérés
Google, le FBI et Lumen ont démantelé NetNut le 3 juillet 2026, un réseau proxy résidentiel de 2 millions d’appareils exploité par 316 groupes criminels pour masquer des cyberattaques mondiales.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire