En bref

  • Qilin (ex-Agenda) revendique plus de 500 victimes depuis janvier 2026 et domine le classement RaaS mondial
  • Dernier incident confirmé : Chamco, fabricant canadien, revendiqué le 30 juin 2026 avec menace de fuite de données
  • Action requise : auditer les accès RDP exposés, sécuriser les portails VPN, surveiller les déploiements de GPO anormaux

Les faits

Le groupe cybercriminel Qilin, également connu sous son nom d'origine « Agenda », s'est imposé au cours du premier semestre 2026 comme l'opérateur de ransomware le plus actif à l'échelle mondiale. Avec plus de 500 organisations revendiquées comme victimes depuis janvier 2026 — selon les données de tracking publiées sur ransomware.live et Ransom-DB — le groupe dépasse largement ses concurrents habituels comme LockBit (dont l'infrastructure avait été perturbée par l'opération Cronos en 2024) et ALPHV/BlackCat (dont les opérateurs ont procédé à un exit scam fin 2024).

La dernière victime déclarée est Chamco, un industriel canadien du secteur de la fabrication et de la production. Le groupe Qilin a revendiqué l'attaque le 30 juin 2026 sur son site de fuite hébergé sur le darknet, menaçant de publier les données exfiltrées si Chamco n'engageait pas des négociations. La nature exacte et le volume des données volées n'ont pas encore été divulgués publiquement au 6 juillet 2026, mais les modes opératoires documentés de Qilin suggèrent une exfiltration préalable massive avant le déploiement du chiffreur.

Le secteur de la fabrication et de la production est la cible principale de Qilin en 2026, devant les services professionnels, le commerce de détail, la technologie et la construction. Les États-Unis représentent la plus forte concentration de victimes, suivis du Royaume-Uni, du Canada, de l'Australie et de l'Allemagne. Les organisations françaises ne sont pas épargnées, bien que les incidents soient moins systématiquement revendiqués sur les sites de fuite anglophones.

Qilin opère sur le modèle RaaS (Ransomware-as-a-Service) : les développeurs du groupe maintiennent le chiffreur et l'infrastructure de négociation, tandis que des affiliés — des opérateurs indépendants recrutés sur les forums cybercriminels — mènent les intrusions et touchent entre 70 % et 80 % de la rançon. Cette structure décentralisée rend le groupe particulièrement résistant aux opérations de démantèlement : même si un affilié est arrêté, les opérations continuent via les autres membres du réseau.

Les vecteurs d'accès initial documentés par les équipes de réponse à incident de Moxfive, CybelAngel et SOCRadar convergent sur deux catégories principales : l'exploitation de credentials compromis pour accéder à des services exposés (RDP, VPN SSL, Citrix) et l'exploitation de vulnérabilités dans des applications web ou des appliances réseau. Le groupe cible particulièrement les portails VPN non patchés et les serveurs RDP accessibles depuis Internet sans authentification multi-facteurs.

Une technique distinctive des affiliés Qilin, documentée depuis 2025 et toujours active en 2026, consiste à déployer un script PowerShell via une GPO (Group Policy Object) pour collecter les credentials sauvegardés dans Google Chrome sur l'ensemble des machines jointes au domaine. Le script extrait les logins, mots de passe et cookies de session stockés dans le profil Chrome de chaque utilisateur du domaine, offrant aux attaquants un inventaire de credentials qui va bien au-delà des ressources de l'organisation ciblée — ces credentials incluent souvent des accès à des services tiers, des banques en ligne et des plateformes SaaS.

Le modèle de double extorsion est systématique chez Qilin : exfiltration des données sensibles avant déploiement du ransomware. La menace de publication constitue un levier de pression indépendant du chiffrement — même si une victime dispose de sauvegardes fonctionnelles et peut restaurer ses systèmes sans payer, la menace de divulgation des données reste entière. Selon les analyses de BlackFog, environ 77 % des incidents de ransomware en 2025 incluaient une exfiltration de données, et Qilin en est l'un des illustrateurs les plus représentatifs.

L'ascension de Qilin au sommet du classement RaaS en 2026 s'explique en partie par un contexte d'écosystème favorable : avec la désintégration de LockBit et ALPHV fin 2024, de nombreux affiliés expérimentés ont migré vers d'autres plateformes. Qilin, qui proposait des conditions financières attractives et une infrastructure stable, a bénéficié de cet afflux de talents criminel. Le rapport Barracuda Networks de janvier 2026 documentait déjà cette montée en puissance, préfigurant la domination que le groupe exercera sur les premiers six mois de l'année.

Impact et exposition

Tout secteur industriel, toute PME avec un accès RDP ou VPN exposé sur Internet sans MFA, et toute organisation qui n'a pas segmenté ses sauvegardes du reste du réseau est potentiellement exposée aux affiliés Qilin. Le groupe ne cible pas exclusivement les grandes organisations : la capacité à payer et la présence de données exfiltrables sont les critères prépondérants. Les PME du secteur manufacturier, qui combinent souvent des systèmes IT vieillissants, des accès distants mal configurés et des données opérationnelles critiques, constituent des cibles particulièrement attractives.

Recommandations

  • Auditer et fermer tous les accès RDP exposés directement sur Internet — derrière un VPN avec MFA ou via un bastion SSH/RD Gateway uniquement.
  • Appliquer le MFA sur tous les accès VPN SSL et Citrix sans exception — c'est le premier contrôle qui stoppe les attaques par credential stuffing.
  • Surveiller les créations et modifications de GPO anormales dans Active Directory — un GPO non planifié déployant un script PowerShell est un signal d'alarme critique.
  • Isoler les sauvegardes du reste du réseau via un réseau hors-bande ou une solution immuable avec politique WORM, et tester régulièrement leur restauration.
  • Déployer des règles EDR et SIEM ciblant les comportements de Qilin : exécution de scripts PowerShell encodés, accès massif aux fichiers via les partages réseau, chiffrement de volumes en série, communications C2 non répertoriées.

Si Qilin a déjà exfiltré nos données avant de chiffrer, payer la rançon garantit-il qu'elles ne seront pas publiées ?

Non — c'est l'un des mensonges fondamentaux du modèle de double extorsion. Aucune garantie contractuelle n'existe avec des criminels. Des groupes ont publié des données de victimes ayant payé, parfois des mois après la résolution d'un incident. La décision de payer doit impliquer des juristes, des assureurs cyber et être évaluée au cas par cas en tenant compte du contexte légal, notamment les réglementations sur le paiement de rançons qui évoluent en Europe.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit