Dreigingsacteurs met banden met de Qilin Ransomware -familie heeft malware gebruikt, bekend als Smokeloader, samen met een voorheen zonder papieren .NET gecompileerde loader gecodeerde Netxloader als onderdeel van een campagne waargenomen in november 2024.
“NetxLoader is een nieuwe .NET-gebaseerde lader die een cruciale rol speelt bij cyberaanvallen,” zei trend micro-onderzoekers Jacob Santos, Raymart Yambot, John Rainier Navato, Sarah Pearl Camiling en Neljorn Nathaniel Aguas in een analyse van woensdag.
“Hoewel het verborgen is, implementeert het heimelijk extra kwaadaardige ladingen, zoals agenda -ransomware en Smokeloader. Beschermd door .NET Reactor 6, is Netxloader moeilijk te analyseren.”
Qilin, ook wel agenda genoemd, is een actieve ransomware -dreiging geweest sinds het in juli 2022 opdook in het landschap van de dreiging. Vorig jaar ontdekte Cybersecurity Company Halcyon een verbeterde versie van de ransomware die het Qilin.B noemde.
Recente gegevens die door Group-IB worden gedeeld, tonen aan dat openbaarmakingen op de gegevensleksite van Qilin meer dan verdubbeld zijn sinds februari 2025, waardoor het de beste ransomware-groep is voor april, die andere spelers zoals Akira, Play en Lynx overtreft.
“Van juli 2024 tot januari 2025 hebben de gelieerde ondernemingen van Qilin niet meer dan 23 bedrijven per maand bekendgemaakt”, zei het Singaporese cybersecuritybedrijf eind vorige maand. “Echter, (…) sinds februari 2025 is het bedrag van de openbaarmakingen aanzienlijk toegenomen, met 48 in februari 44 in maart en 45 in de eerste weken van april.”
Qilin zou ook hebben geprofiteerd van een instroom van gelieerde ondernemingen na de abrupte sluiting van Ransomhub aan het begin van vorige maand. Volgens Flashpoint was Ransomhub de op een na meest actieve ransomware-groep in 2024 en claimde 38 slachtoffers in de financiële sector tussen april 2024 en april 2025.
“Agenda -ransomware -activiteit werd voornamelijk waargenomen in sectoren in de gezondheidszorg, technologie, financiële diensten en telecommunicatie in de VS, Nederland, Brazilië, India en de Filippijnen”, aldus de gegevens van Trend Micro uit het eerste kwartaal van 2025.
Netxloader, zei het cybersecuritybedrijf, is een zeer verdoezelde lader die is ontworpen om de volgende fase payloads te lanceren die zijn opgehaald uit externe servers (bijv. Bloglake7 (.) CFD “), die vervolgens worden gebruikt om Smokeloader en agenda-ransomware te laten vallen.
Beschermd door .NET-reactorversie 6, bevat het ook een hele reeks trucs om traditionele detectiemechanismen en weerstandsanalyse-inspanningen te omzeilen, zoals het gebruik van just-in-time (JIT) haaktechnieken, en schijnbaar betekenisloze methode-namen en controlestroomverdieping.
“Het gebruik van NetXloader door de operators is een grote sprong voorwaarts in hoe malware wordt geleverd,” zei Trend Micro. “Het maakt gebruik van een zwaar verdoezelde lader die de daadwerkelijke lading verbergt, wat betekent dat je niet kunt weten wat het echt is zonder de code uit te voeren en deze in het geheugen te analyseren. Eventuele string-gebaseerde analyse zal niet helpen omdat de obfuscatie de aanwijzingen klautert die normaal de identiteit van de lading onthullen.”
Er is gebleken dat aanvalsketens gebruikmaken van geldige accounts en phishing als initiële toegangsvectoren om Netxloader te laten vallen, die vervolgens Smokeloader op de host implementeert. De Smokeloader-malware voert verder een reeks stappen uit om virtualisatie en sandbox-ontwijking uit te voeren, terwijl het tegelijkertijd een hard gecodeerde lijst met loopprocessen beëindigt.
In de laatste fase legt Smokeloader contact op met een command-and-control (C2) -server om NetxLoader op te halen, die de agenda-ransomware start met behulp van een techniek die bekend staat als reflecterende DLL-laden.
“De agenda -ransomware -groep evolueert voortdurend door nieuwe functies toe te voegen die zijn ontworpen om verstoring te veroorzaken,” zeiden de onderzoekers. “De diverse doelen omvatten domeinnetwerken, gemonteerde apparaten, opslagsystemen en vCenter ESXI.”
