Le groupe de rançongiciel Agenda, aussi connu sous le nom de Qilin, repousse une nouvelle fois les limites techniques. Selon une analyse publiée par Trend Micro, ses opérateurs ont développé une méthode inédite : exécuter des binaires Linux directement sur des systèmes Windows, en s’appuyant sur des outils d’administration à distance légitimes comme WinSCP, Splashtop Remote ou AnyDesk. Une approche inédite qui contourne les solutions de sécurité centrées sur Windows et brouille considérablement les pistes pour les systèmes de détection traditionnels.
Cette exécution multiplateforme s’appuie sur des binaires compilés pour Linux, mais transférés et déclenchés à distance sur des serveurs Windows via des outils RMM (Remote Monitoring and Management). En exploitant la virtualisation croisée et des pilotes vulnérables, les attaquants parviennent à désactiver les protections locales et à neutraliser les mécanismes de reprise après sinistre.
La campagne d’Agenda commence souvent par de fausses pages CAPTCHA hébergées sur l’infrastructure Cloudflare R2, distribuant des logiciels malveillants voleurs d’informations. Une fois infiltrés dans le réseau, les opérateurs installent plusieurs outils de contrôle à distance pour établir des accès persistants, souvent via ATERA Networks ou ScreenConnect. Ces outils, considérés comme fiables par les équipes de sécurité, offrent un camouflage presque parfait.
Un aspect marquant de cette campagne est le ciblage systématique des systèmes de sauvegarde Veeam. Les attaquants exécutent des scripts PowerShell encodés en base64 pour extraire et décrypter les identifiants des bases de données de sauvegarde, compromettant ainsi les contrôleurs de domaine, serveurs Exchange, bases SQL et partages de fichiers. Les options de restauration étant neutralisées, le déploiement du rançongiciel devient inévitable.
Du Linux dans Windows : un nouveau casse-tête défensif
L’originalité — et la menace — de cette attaque vient du fait que le rançongiciel n’exploite aucune vulnérabilité Windows spécifique. En exécutant des binaires Linux via des outils externes, Agenda contourne totalement les filtres et agents de protection habituels. Les chercheurs de Trend Micro parlent d’une « attaque à faible bruit » : peu d’alertes, pas de comportements typiques d’un exécutable Windows, et des logs difficilement exploitables.
Agenda déploie également des techniques BYOVD (Bring Your Own Vulnerable Driver, comprenez « pilote vulnérable apporté »), utilisant notamment le pilote eskle.sys, issu d’un logiciel de jeu chinois, pour désactiver les défenses du noyau. D’autres composants comme msimg32.dll sont utilisés pour charger latéralement des pilotes compromis tels que rwdrv.sys et hlpdrv.sys, déjà observés dans les campagnes du rançongiciel Akira.
Depuis janvier 2025, Agenda/Qilin a touché plus de 700 victimes dans 62 pays, selon Trend Micro. Les secteurs les plus affectés sont la fabrication, la technologie, la finance et la santé, avec une forte concentration d’incidents aux États-Unis, en France, au Canada et au Royaume-Uni. D’après Check Point Research, l’activité du groupe a doublé au deuxième trimestre 2025, notamment après la disparition de RansomHub, dont plusieurs affiliés auraient rejoint Qilin.
Les nouvelles variantes d’Agenda affichent une maturité technique impressionnante : compatibilité avec les hyperviseurs VMware ESXi et Nutanix AHV, nombreuses options de ligne de commande et conscience du contexte d’exécution. Les chercheurs y voient la marque d’un ransomware en train de devenir véritablement multiplateforme.
Comment se protéger ?
Les experts recommandent de limiter l’usage des outils de gestion à distance aux seuls hôtes autorisés, de surveiller les transferts interplateformes et de détecter les exécutions anormales de binaires Linux dans des environnements Windows. Les systèmes de sauvegarde doivent être isolés, et les accès aux interfaces d’administration constamment audités.
