O grupo de ransomware Qilin, também conhecido como Agenda, liderou o ranking de ciberataques em abril de 2025, com mais de 45 vazamentos de dados divulgados em seu site. O aumento na atividade coincide com o encerramento abrupto do grupo rival RansomHub, o que teria atraído novos afiliados para o Qilin. A gangue tem como alvos principais os setores de saúde, tecnologia, finanças e telecomunicações, com ataques registrados nos EUA, Holanda, Brasil, Índia e Filipinas.

Pesquisadores de cibersegurança revelaram que o Qilin está utilizando um novo carregador de malware chamado NETXLOADER, desenvolvido em .NET e altamente ofuscado, que atua em conjunto com o SmokeLoader para distribuir o ransomware. O NETXLOADER é protegido pelo .NET Reactor 6, dificultando sua análise e detecção. Ele também emprega técnicas avançadas de evasão, como nomes de métodos sem sentido, controle de fluxo confuso e técnicas de “just-in-time hooking”. A cadeia de infecção começa com phishing e uso de credenciais válidas para instalar o NETXLOADER, que então executa o SmokeLoader.

Esse malware, por sua vez, desativa processos específicos e evita ambientes de análise antes de contatar servidores de comando e controle para buscar novos carregadores e finalmente ativar o ransomware por meio de DLL reflexiva, uma técnica furtiva de execução. Desde fevereiro de 2025, o número de empresas afetadas cresceu consideravelmente, com 48 vítimas em fevereiro, 44 em março e 45 nas primeiras semanas de abril. Essa evolução mostra a sofisticação crescente do Qilin e a necessidade urgente de fortalecer medidas de segurança cibernética.