แก๊งแรนซัมแวร์ Qilin ใช้เครือข่ายใต้ดินและ Bulletproof Hosting ยกระดับการโจมตีทั่วโลก
Qilin กลุ่มแรนซัมแวร์ในรูปแบบ Ransomware-as-a-Service (RaaS) กำลังทวีความรุนแรงและขยายขอบเขตการโจมตีไปทั่วโลก โดยอาศัยเครือข่ายผู้ให้บริการโฮสติ้งที่เรียกว่า Bulletproof Hosting (BPH) ซึ่งเป็นบริการที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจสอบและต่อต้านการดำเนินการทางกฎหมาย ทำให้กลุ่มแฮกเกอร์สามารถใช้เป็นฐานในการซ่อนมัลแวร์, เว็บไซต์ปล่อยข้อมูล และโครงสร้างพื้นฐานสำหรับสั่งการและควบคุม (Command-and-Control) ได้อย่างอิสระ
กลุ่ม Qilin ซึ่งปรากฏตัวครั้งแรกในช่วงกลางปี 2022 ภายใต้ชื่อ “Agenda” ได้พัฒนาตัวเองจนกลายเป็นแพลตฟอร์ม RaaS ที่มีความซับซ้อนสูง โดยมีแดชบอร์ดบนเว็บที่ใช้งานง่ายสำหรับเครือข่ายพันธมิตร (affiliates) เพื่อใช้กำหนดค่าการโจมตี, จัดการเหยื่อ และเจรจาต่อรองเรียกค่าไถ่
ทีมผู้พัฒนาหลักของกลุ่มทำหน้าที่ดูแลและพัฒนาโค้ดของแรนซัมแวร์อย่างต่อเนื่อง พร้อมจัดหาเครื่องมือสำหรับทำ Spear Phishing และใช้ช่องโหว่ของเครื่องมือ Remote Monitoring and Management (RMM) เพื่อโจมตีในรูปแบบ Double-Extortion ซึ่งเป็นการเข้ารหัสข้อมูลพร้อมขู่ว่าจะเปิดเผยข้อมูลที่ขโมยไปควบคู่กัน โดยพันธมิตรจะได้รับส่วนแบ่งค่าไถ่สูงถึง 80–85%
การขยายตัวทั่วโลกและเครือข่าย BPH
ในช่วงเดือนตุลาคม 2025 Qilin ได้ประกาศรายชื่อเหยื่อรายใหม่ๆ ทั่วทั้งยุโรป, อเมริกาเหนือ, แอฟริกา และเอเชีย ซึ่งรวมถึงหน่วยงานจัดเก็บภาษีของสเปน, เทศบาลและผู้ให้บริการด้านสุขภาพในสหรัฐอเมริกา, หน่วยงานเทศบาลของฝรั่งเศส และบริษัทเทคโนโลยีประกันภัยในแอฟริกา
หัวใจสำคัญที่ทำให้ Qilin ยังคงเคลื่อนไหวได้อย่างต่อเนื่องคือการพึ่งพาผู้ให้บริการ Bulletproof Hosting ที่ไม่ต้องการข้อมูลลูกค้า และไม่ให้ความร่วมมือในการแก้ไขปัญหากับหน่วยงานบังคับใช้กฎหมาย จากการตรวจสอบพบว่าโครงสร้างพื้นฐานของ Qilin มีความเชื่อมโยงกับบริษัทต่างๆ ที่จดทะเบียนในเขตอำนาจศาลที่เอื้อต่อการปกปิดข้อมูล เช่น ฮ่องกงและรัสเซีย
ตัวอย่างเช่น Cat Technologies Co. Limited ในฮ่องกง และ Red Bytes LLC ในเซนต์ปีเตอร์สเบิร์ก ซึ่งเป็นส่วนหนึ่งของเครือข่าย BPH ที่ซับซ้อน ผู้ให้บริการเหล่านี้ใช้ประโยชน์จากความแตกต่างของกฎระเบียบทั่วโลก โดยจัดตั้งบริษัทเชลล์ในไซปรัส, รัสเซีย และฮ่องกง เพื่อหลีกเลี่ยงความโปร่งใสและการรายงานการละเมิด