Qilin Ransomware Leverages Ghost Bulletproof Hosting for Global Attacks
2025/10/16 gbhackers — 活発化し続ける RaaS (ransomware-as-a-service) である Qilin ランサムウェアが、防弾ホスティング (BPH:bulletproof hosting) プロバイダーの秘密ネットワークに依存することで、世界的な恐喝キャンペーンを強化している。多くのケースにおいて、これらの不正ホスティング・サービス企業は、地政学的に法執行や規制の及びにくい区域に本社を置き、複雑なダミー会社の構造を介して運営されている。したがって、Qilin の運営者やアフィリエイトは罰せられることもなく、マルウェア/データ漏洩サイト/C2 (Command and Control) インフラをホスティングできている。
2025年9月下旬に仕掛けた攻撃で、日本の大手ビール会社 Asahi Group Holdings を約2週間にわたり機能不全に陥れたと、Qilin は主張している。そこで浮き彫りにされたのは、現実の世界に影響を及ぼす、この秘密ホスティング・フレームワークの存在である。
2022年半ばに Agenda という名前で登場した Qilin は、洗練された RaaS プラットフォームへと進化し、攻撃の設定/被害者の管理/身代金交渉用の Web パネルなどをアフィリエイトに提供している。
このグループのコアとなる開発者は、 Go と Rust で記述されたランサムウェアのコードベースを管理し、スピアフィッシング・ツールキット/RMM エクスプロイト/二重脅迫機能なども、国際的なアフィリエイト・ネットワークに供給している。
それらのアフィリエイトたちは、身代金の大部分となる 80%~85% を受け取り、運営者側は 15%~20% の取り分を受け取るという。
Qilin の堅牢性の中核を成すのは、堅牢な防弾ホスティング・プロバイダーへの依存である。それらの BPH が約束するものには、顧客確認 (KYC:know-your-customer check) の不実施および不正行為の黙認と、法執行機関による削除への耐性がある。
2024年4月の時点で Qilin の Tor ホスト型データ漏洩サイトは、香港の Cat Technologies Co. Limited とサンクトペテルブルクの Red Bytes LLC に関連する IP アドレスを参照していた。これらのプロバイダーは、Lenar Davletshin が率いる BPH コングロマリット傘下の企業である。
この機関は 26,000 人以上の職員を雇用し、$1.5 billion の予算で運営され、民間部門と公共部門の膨大な量のデータを処理している。
さらに、Qilin のインフラと関連付けられる BPH ホスティング・ブランドには、BearHost (現在は voodoo_servers)/Chang Way Technologies/IPX-FZCO などがあるが、多くのケースにおいてアドレス/管理者が重複し、また、悪意の偵察を目的とする自動スキャン・サーバが共有されている。
これらの BPH 運営者たちは、キプロス/ロシア/香港にダミー会社を設立し、世界的な規制/制裁を回避する手法を活用しながら、透明性と不正行為に関する報告から逃れている。
Asahi Group Holdings の混乱
2025年9月29日に Qilin は、日本最大の飲料メーカーである Asahi Group Holdings に対してランサムウェア攻撃を仕掛けた。
過去における悪意の感染の兆候と、Resecurity の評価をベースにすると、今回の侵害の根本的な原因は、安全ではないリモート・アクセスと従業員を巻き込んだ BEC (business email compromise) の可能性が高いとされる。
この攻撃により、デジタル注文処理や生産スケジュールに障害が発生し、30 の工場で出荷が麻痺した。そのため Asahi は、手作業による紙ベースの注文処理に戻らざるを得なかったという。
日本国内の大手小売店やレストランは Asahi 製品の品薄を報告し、Asahi は 12 の新商品の発売を延期した。
Asahi は約 27 GB のデータ流出を認めており、この障害が続いた場合には、国内営業利益が 83% も減少する可能性があるとしている。10月中旬に Qilin は、盗難データの身代金として $10 million を直接に要求し、被害者への圧力を強めている。
このインシデントが思い出させるのは、Jaguar Land Rover への Trinity of Chaos 攻撃である。この侵害により、同社の世界中の自動車組立ラインが停止し、1日あたり £72 million と推定される売上損失が生じていた。
Qilin は、高付加価値の製造業と重要インフラを標的としている。それが示すのは、業務上および財務上の混乱が最大の損害をもたらす業界を、戦略的に重視していることだ。
世界的な拡大と将来の脅威
2025年10月を通して Qilin が主張するのは 、北米/ヨーロッパ/アフリカ/アジアで新たな被害者を生み出していることだ。
ロシア語圏と香港にまたがる地下組織の下で統合される BPH 運営者と Qilin の共生関係は、サイバー・セキュリティ対策担当者にとって大きな課題である。
最近になって明らかにされたインシデントに含まれるものには、スペイン国税庁/米国の複数の自治体および医療機関/フランスの地方自治体/アフリカの保険テクノロジー企業などへの攻撃がある。
このグループは標的を多様化させており、大規模な公共部門組織と民間企業の重要なサプライチェーンを、バランスを取りながら攻撃しているように見受けられる。
過去において、北朝鮮の攻撃者を採用した攻撃が示すのは、 Qilin が海外のアフィリエイトを積極的に取り込んでいる状況である。その一方で、国家支援型または独立系のアクセス・ブローカーとの連携を強化している可能性もある。
これらの悪意のホスティング・エコシステムを混乱させるには、国際的な法執行機関による協調的な対応と、 BPH サービスを支えるダミー会社への規制圧力が必要となる。
それまでの間において Qilin は、これらの Ghost ホスティング・プラットフォームを活用し、さらに影響力の大きいランサムウェア攻撃を仕掛けてくるだろう。
Qilin が被害を拡大させる要因は、技術的な高度さだけでなく運用上の利点にもあるようです。1)BPH やダミー会社による匿名化と KYC 不問、2)広範なアフィリエイトへの RaaS の提供、3)リモートアクセスや BEC などを入口とする初期侵入ベクターが組み合わさり、被害が急速に拡大していると、この記事は指摘しています。よろしければ、RaaS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.