✅ レポートタイトル：「Qilin」ランサムウェアに関する概要

✅ レポート概要

- Qilinランサムウェアは少なくとも2022年5月から活動しており、中国の神話に登場する霊獣「麒麟（Qilin）」に由来する名称を使用していますが、フォーラム上ではロシア語を使用していることから、ロシアを起源とするグループであると推定されています。

- Qilinは「Ransomware-as-a-Service（RaaS）」モデルで運営されており、他のRaaSグループと同様にアフィリエイトにランサムウェアを提供し、攻撃を実行させた上で身代金交渉を行っています。

- 同グループは医療分野を主な標的としており、これに関連して米国保健福祉省（HHS）はQilinグループに関するプロファイリングレポートを公開しました。

- 特に英国ロンドンの国営医療サービス機関（NHS）を標的にした攻撃で大きな注目を集めました。

- 近年では、日本を含む韓国企業を狙った攻撃が目立って増加しています。

📌 Qilinランサムウェアの主な特徴

（Darkweb Profile）

- Qilinの運営メンバーは2022年5月からRAMPフォーラムで「@Haise」というユーザー名で活動しており、2023年2月にはQilinのRaaSプログラムを宣伝しています。

- 2023年1月以降、XSS、CryptBB、Exploitフォーラムでは「@XORacle」として活動しています。

- 2025年3月からはBreachforums上で「@QilinRansom」として活動しています。

（Affiliate）

- 海外のセキュリティ研究者Bushidotokenは、Qilinのリークサイトに掲載された被害企業がBlackCatやContiと重複している点、またContiやBlackCatを使用するアフィリエイトであるPistachio Tempest（DEV-0237、FIN12）グループが2022年6月にAgendaランサムウェアを試験的に使用した経緯などから、QilinはPistachio Tempestと関連している可能性を指摘しています。

- そのほか、BlackMatter、REVil、BlackBasta、BlackCat、Akiraなどとの関連性も示唆されています。

- Microsoftは、北朝鮮系の脅威グループMoonstone SleetがQilinランサムウェアを配布した痕跡を公開しました。

- Sophosは、ScreenConnectの認証通知メールを装ったフィッシング攻撃を行うグループをSTAC4365として追跡しており、このグループがQilinランサムウェアを拡散していることを確認しています。

（Cooperate）

- 海外の研究チームVX-Undergroundは、LockBit、Qilin、DragonForceの3グループが同盟関係を結んでいると報告しています。

📌 Qilinランサムウェアに使用されたMalware、Tools、Vulnerability、TTPs

- Malware: Qilin Ransomware、SmokeLoader、NETXLOADER

- Tools: Evilginx2、PsExec、NetExec、WinRM、ScreenConnect、WinRAR

- Vulnerability: CVE-2023-27532、CVE-2024-21762、CVE-2024-55591

- TTPs: T1566.002、T1133、T1190、T1078、T1204.002 など多数

📌 Qilinランサムウェアの最近の動向（最新順）

🧑‍ レポート作成者：S2W「TALON」（2025年9月23日基準）

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォーム「QUAXAR（クェーサー）」で全文が提供されています。詳細に関してはお問い合わせください。