Atenção Total: Afiliado Qilin Explora Appliances de Rede para Acesso Inicial

A Ctrl-Alt-Intel monitorou um afiliado do RaaS Qilin em 5 diretórios abertos expostos de agosto de 2025 a março de 2026, registrando 1.929 invocações de exploit contra 918 IPs únicos de WatchGuard Firebox (71,5% na Alemanha, 28,1% nos EUA). O ataque utilizou o POC da watchTowr para CVE-2025-9242, juntamente com POCs para CVE-2025-14733, CVE-2025-40554 (SolarWinds), CVE-2025-59718 (FortiOS), CVE-2025-60021 (Apache bRPC), CVE-2026-24061 e CVE-2026-24423.

A kill chain executou exploração IKE na porta 500 para forçar callbacks na porta 2007, implantou um binário Chisel renomeado (fos) para pivoting via SOCKS reverso, e distribuiu Sliver C2 a partir de servidores localizados em 31.57.147.229, 31.57.38.155, 23.27.140.108 e 23.27.143.170, com binários Qilin nomeados em referência às vítimas (kruss, qusar, tron, sssd) capazes de criptografar hosts Linux, ESXi e Nutanix AHV usando ChaCha20. Os defensores devem procurar por processos Sliver/Chisel em appliances de borda, monitorar o acesso a /etc/wg config.xml em WatchGuard, bloquear os IPs de C2 listados, aplicar patches para as sete CVEs imediatamente, e tratar firewalls/VPNs como lacunas de telemetria de alta prioridade, já que esses appliances raramente executam stacks de AV/EDR.