Qilin : 6 victimes en 4 jours, RDP enumeration au coeur du TTP

Les faits

La plateforme de tracking Ransomware.live et le centre de threat intelligence Ransom-DB ont consolidé entre le 27 avril et le 1er mai 2026 une vague de revendications du groupe Qilin (alias Agenda) particulièrement nourrie. Le 27 avril, Qilin publie sur son data leak site une revendication contre Lifeline PCS, prestataire de services de santé basé aux États-Unis, avec un échantillon de 12 Go de dossiers patients incluant DPI complets et numéros de Medicare. Le 29 avril, cinq nouvelles victimes apparaissent : Eduporium (e-commerce éducation US), Probity Contracting Group, Metro-ILA Funds, Edenshaw Developments (immobilier Canada) et Antica Sartoria (luxe Italie).

Le 30 avril, deux victimes supplémentaires sont publiées : Zinkan & Barker Development, ETI britannique du BTP, et The Switch Enterprises, prestataire de services aux entreprises basé en Finlande. Le 1er mai, le compteur s'alourdit avec Jayeff Construction, dont la fuite a été détectée par les outils de monitoring du dark web. En quatre jours, Qilin a donc revendiqué neuf victimes, ce qui le place sur un rythme mensuel de plus de 60 attaques — un volume cohérent avec les 700 attaques recensées sur 2025 et une accélération nette en 2026.

Cette intensification s'inscrit dans une recomposition de l'écosystème Ransomware-as-a-Service. Depuis la disparition de RansomHub en mars 2026 (suite à un exit scam ou à une opération covert non-revendiquée), les affiliés ont migré massivement vers Qilin, DragonForce et Akira. Le rapport hebdomadaire de Ransom-DB indique que Qilin et DragonForce concentrent désormais 21 % du volume hebdomadaire mondial. Les acteurs restants (LockBit-resurgent, BlackSuit, Medusa) se partagent le reste avec un long tail d'opérateurs émergents.

Sur le plan technique, les chercheurs de Cybersecurity News documentent un TTP qui devient signature de Qilin : l'énumération de l'historique RDP via les Event ID 1149. Cette ID, peu surveillée par les SOC, enregistre chaque demande de connexion Remote Desktop entrante avec le nom d'utilisateur, le domaine et la machine cliente source. Une fois Qilin sur un serveur compromis (typiquement via accès initial vendu par un broker, exploitation Citrix, ou phishing), il extrait l'historique RDP du Security Event Log et reconstitue la cartographie des comptes à privilèges qui se connectent régulièrement à ce serveur.

Cette technique, simple en apparence, est redoutable d'efficacité. Elle court-circuite l'enumération classique d'Active Directory (BloodHound, ldapsearch) qui laisse beaucoup d'artefacts, et fournit directement la liste des cibles à compromettre pour escalader. Sur les serveurs jump-host ou bastion mal segmentés, Qilin obtient en quelques secondes la liste exhaustive des admins de domaine ayant ouvert une session récente. Le mouvement latéral devient alors chirurgical : pas de bruit, ciblage direct des comptes à plus haut privilège.

Le vecteur d'accès initial reste varié selon les affiliés : exploitation Fortinet/Citrix non patchés (CVE-2024-47575 FortiManager récemment), phishing avec QakBot ou IcedID, accès achetés sur les marketplaces du dark web (initial access brokers vendant un accès VPN à 2 000-15 000 USD selon la cible). Une fois dedans, le playbook est cohérent : reconnaissance Active Directory, désactivation des EDR via BYOVD (Bring Your Own Vulnerable Driver), exfiltration via Rclone vers Mega/Backblaze, puis chiffrement final avec ransomware Qilin (ChaCha20 + RSA-2048).

Impact et exposition

Les victimes confirmées en avril couvrent six secteurs : santé, services aux entreprises, BTP/immobilier, e-commerce, retail luxe et services financiers. La taille des organisations va de la PME (Antica Sartoria, ~50 employés) aux ETI cotées. Aucun secteur n'est épargné, et la dispersion géographique (US, UK, Italie, Finlande, Canada) confirme que Qilin sélectionne ses cibles par opportunité d'accès plutôt que par profil sectoriel.

Pour les RSSI français, l'exposition principale reste la même qu'en 2025 : périmètre VPN/Citrix exposé non-patché, comptes RDP Internet-facing, MFA absent ou contournable, et surtout absence de monitoring des Event ID 1149 sur les serveurs critiques. Une organisation bien segmentée mais qui ne supervise pas l'historique RDP de ses bastions reste vulnérable au TTP Qilin.

Recommandations

• Activer le monitoring SIEM des Event ID 1149 sur tous les serveurs Windows. Toute consultation de masse de cet historique par un compte non administrateur est suspecte.
• Désactiver le RDP exposé sur Internet sans exception. Si un accès distant est nécessaire, passer par un broker (Apache Guacamole, Teleport, Bastion Citrix avec MFA matériel obligatoire).
• Auditer mensuellement les comptes à privilèges qui ouvrent des sessions RDP sur les bastions et serveurs jump. Réduire au strict minimum le nombre de comptes Tier 0 autorisés.
• Activer les protections BYOVD : Microsoft Vulnerable Driver Blocklist, ELAM (Early Launch Anti-Malware), interdiction des pilotes non-Microsoft via stratégie HVCI.
• Bloquer en sortie les destinations Mega.io, Backblaze B2 et autres services d'exfiltration courants sauf usage métier explicitement déclaré.
• Tester restitution sauvegardes immutables (S3 Object Lock, Veeam hardened repo) sur scénario de chiffrement total. Une sauvegarde non testée est une sauvegarde absente.