✅ 보고서 제목: 킬린(Qilin) 랜섬웨어 보고서

✅ 보고서 요약:

- Qilin 랜섬웨어는 최소 2022년 5월부터 활동 중이며, 중국의 신화적 생물인 기린(麒麟, qilin)에서 이름을 따왔지만 포럼에서 러시아어를 사용한다는 점에서 러시아에서 기원된 것으로 추정됩니다.

- Qilin은 Ransomware-as-a-Service(RaaS) 모델로 운영되며, 다른 RaaS 그룹들과 마찬가지로 Affiliate 들에게 랜섬웨어를 제공하여 공격을 수행하도록 유도한 뒤 몸값 협상을 처리합니다.

- 해당 그룹은 의료 서비스를 중점적으로 타겟하는 것으로 알려져 있으며, 이에 따라 미국 보건복지부(Health and Human Services, HHS)에서 Qilin 그룹의 프로파일링 보고서를 공개하였습니다.

- 특히 영국 런던의 주요 국영 의료 서비스(National Health Service, NHS) 병원을 타겟하여 크게 주목을 받았습니다.

- 최근, 국내 기업을 타깃으로 한 공격이 눈에 띄게 증가하며 주목받고 있습니다.

📌 Qilin 랜섬웨어의 주요 특징

(Darkweb Profile)

- Qilin 의 운영 멤버는 2022년 5월부터 RAMP 포럼에서 @Haise 라는 유저로 활동하고 있으며, 해당 유저는 2023년 2월에 Qilin 의 RaaS 프로그램을 홍보하고 있습니다.

- 2023년 1월부터 XSS, CryptBB, Exploit 포럼에서 @XORacle 이라는 유저로 활동중입니다.

- 2025년 3월부터 Breachforums 에서 @QilinRansom 이라는 유저로 활동중입니다.

(Affiliate)

- 해외 보안 전문가 Bushidotoken은 Qilin이 Leak 사이트에 올린 피해 기업과 BlackCat 및 Conti 그룹간 중복되는 점, Conti, BlackCat 을 사용하는 Affiliate인 Pistachio Tempest(DEV-0237, FIN12) 그룹이 22년 6월에 Agenda 랜섬웨어를 실험적으로 사용한 이력이 있다는 점에서 Qilin 은 Pistachio Tempest와 Affiliate 관계라고 추측됩니다.

- 이 외에도 BlackMatter, REVil, BlackBasta, BlackCat, Akira 등과도 연관성이 제시되었습니다.

- Microsoft는 북한 배후의 위협 그룹인 Moonstone Sleet이 Qilin 랜섬웨어를 배포한 정황을 공개했습니다.

- Sophos 에서 ScreenConnect 인증 알림 메일로 위장한 피싱 메일로 공격하는 그룹을 STAC4365로 추적하고 있으며, 해당 그룹이 Qilin 랜섬웨어를 유포하는 것을 포착하였습니다.

(Cooperate)

- 해외 보안 연구팀인 VX-Underground는 LockBit, Qilin, DragonForce 세 그룹 간 동맹을 맺었다고 언급하였습니다.

📌 Qilin 랜섬웨어 유포에 사용된 Malware, Tools, Vulneralibity, TTPs

- Malware: Qilin Ransomware, SmokeLoader, NETXLOADER

- Tools: Evilginx2, PsExec, NetExec, WinRM, ScreenConnect, WinRAR

- Vulnerability: CVE-2023-27532, CVE-2024-21762, CVE-2024-55591

- TTPs: T1566.002, T1133, T1190, T1078, T1204.002 외 다수

📌 Qilin 랜섬웨어의 최근 이슈 (최신순)

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.