Chiến dịch mã độc tống tiền Qilin, một hoạt động Ransomware-as-a-Service (RaaS) ngày càng tinh vi và phát triển, đang gia tăng đáng kể các chiến dịch tống tiền trên quy mô toàn cầu. Nhóm này khai thác một mạng lưới bí mật và phức tạp của các nhà cung cấp dịch vụ bulletproof hosting (BPH) để ẩn mình.

Các dịch vụ hosting bất hợp pháp này, thường đặt trụ sở tại các khu vực pháp lý thiếu minh bạch và vận hành thông qua cấu trúc công ty vỏ bọc phức tạp. Điều này cho phép các nhà điều hành và chi nhánh của Qilin lưu trữ mã độc, các trang web rò rỉ dữ liệu và hạ tầng command-and-control (C2) gần như không bị trừng phạt.

Vào cuối tháng 9, Qilin đã nhận trách nhiệm về một cuộc tấn công tàn khốc làm tê liệt hoạt động của tập đoàn bia Nhật Bản Asahi Group Holdings trong gần hai tuần. Sự kiện này một lần nữa khẳng định tác động nghiêm trọng của khung hạ tầng hosting bí mật này đối với các doanh nghiệp lớn.

Mã Độc Tống Tiền Qilin: Cơ Chế Hoạt Động và Mô Hình RaaS Độc Hại

Xuất hiện vào giữa năm 2022 dưới tên gọi “Agenda”, Qilin đã nhanh chóng phát triển thành một nền tảng RaaS tinh vi và hiệu quả. Nền tảng này cung cấp cho các chi nhánh của mình một bảng điều khiển web thân thiện, giúp họ dễ dàng cấu hình các cuộc tấn công, quản lý nạn nhân và đàm phán các khoản tiền chuộc.

Các nhà phát triển cốt lõi của nhóm duy trì và liên tục cải tiến cơ sở mã ransomware, được viết bằng các ngôn ngữ lập trình mạnh mẽ như Golang và Rust. Họ cũng cung cấp các bộ công cụ spear-phishing chuyên dụng, các công cụ khai thác lỗ hổng Remote Monitoring and Management (RMM) và khả năng tống tiền kép (double-extortion) cho mạng lưới chi nhánh quốc tế.

Mô hình chia sẻ lợi nhuận của Qilin rất hấp dẫn: các chi nhánh giữ phần lớn tiền chuộc, thường là 80–85%. Trong khi đó, các nhà điều hành cốt lõi của mã độc tống tiền Qilin chỉ giữ lại một phần nhỏ, khoảng 15–20% lợi nhuận.

Hạ Tầng Bulletproof Hosting (BPH): Yếu Tố Nền Tảng Của Mối Đe Dọa Mạng

Yếu tố cốt lõi tạo nên khả năng phục hồi và bền bỉ của mã độc tống tiền Qilin là sự phụ thuộc chặt chẽ vào các nhà cung cấp bulletproof hosting. Những nhà cung cấp này cam kết không kiểm tra thông tin khách hàng (zero KYC), không xử lý báo cáo lạm dụng, và khả năng chống lại các hoạt động gỡ bỏ của cơ quan thực thi pháp luật.

Vào tháng 4 năm 2024, trang web rò rỉ dữ liệu của Qilin, được lưu trữ trên mạng Tor, đã đề cập rõ ràng đến các địa chỉ IP liên quan đến Cat Technologies Co. Limited tại Hong Kong và Red Bytes LLC tại Saint Petersburg. Các công ty này được xác định là nằm trong một tập đoàn BPH lớn do giám đốc Lenar Davletshin điều hành.

Ngoài ra, các thương hiệu hosting khác như BearHost (hiện đã đổi tên thành voodoo_servers), Chang Way Technologies và IPX-FZCO cũng được liên kết chặt chẽ với hạ tầng của Qilin. Chúng thường chia sẻ các địa chỉ IP, thông tin quản trị viên hoặc các máy chủ quét tự động được thiết kế để thực hiện trinh sát độc hại, gia tăng mối đe dọa mạng tổng thể.

Các nhà điều hành BPH này tận dụng triệt để sự chênh lệch quy định giữa các quốc gia, thành lập các thực thể vỏ bọc tại Síp, Nga và Hong Kong. Điều này giúp họ trốn tránh tính minh bạch và các quy định báo cáo lạm dụng. Để hiểu rõ hơn về hoạt động phức tạp của các nhà cung cấp bulletproof hosting, bạn có thể tham khảo thêm tại Qwins Ltd. Bulletproof Hosting Provider.

Các Chỉ Số Thỏa Hiệp (IOC) Liên Quan Đến Hạ Tầng BPH Của Qilin:

• Cat Technologies Co. Limited (Hong Kong)
• Red Bytes LLC (Saint Petersburg)
• BearHost (hiện là voodoo_servers)
• Chang Way Technologies
• IPX-FZCO
• Các thực thể vỏ bọc tại Síp, Nga, Hong Kong dùng để che giấu danh tính.

Các Chiến Dịch Tấn Công Tiêu Biểu và Hệ Quả Rò Rỉ Dữ Liệu

Vào ngày 29 tháng 9 năm 2025, nhóm Qilin đã tung ra mã độc tống tiền của mình vào Asahi Group Holdings, nhà sản xuất đồ uống lớn nhất Nhật Bản. Theo đánh giá ban đầu, nguyên nhân gốc rễ của sự thỏa hiệp có thể là do các lỗ hổng trong truy cập từ xa không an toàn và các cuộc tấn công lừa đảo qua email doanh nghiệp (BEC) nhắm vào nhân viên.

Cuộc tấn công đã gây tê liệt nghiêm trọng quá trình xử lý đơn hàng kỹ thuật số, lập kế hoạch sản xuất và vận chuyển tại 30 nhà máy của Asahi. Tập đoàn buộc phải khẩn cấp chuyển sang thực hiện đơn hàng thủ công bằng giấy, ảnh hưởng lớn đến chuỗi cung ứng.

Hệ quả là các nhà bán lẻ và nhà hàng lớn đã báo cáo tình trạng thiếu hụt sản phẩm Asahi trên toàn quốc, gây ra thiệt hại đáng kể. Công ty cũng phải hoãn ra mắt 12 mặt hàng mới theo kế hoạch. Asahi xác nhận việc rò rỉ dữ liệu khoảng 27 GB và đối mặt với mức giảm 83% lợi nhuận hoạt động trong nước nếu sự cố ngừng hoạt động kéo dài. Vào giữa tháng 10, Qilin yêu cầu 10 triệu USD cho dữ liệu bị đánh cắp, bỏ qua các bên trung gian để tăng áp lực lên nạn nhân của mình.

Sự cố này mang nhiều điểm tương đồng đáng lo ngại với cuộc tấn công Trinity of Chaos vào Jaguar Land Rover. Cuộc tấn công đó đã làm ngừng trệ các dây chuyền lắp ráp xe toàn cầu và gây thiệt hại ước tính 72 triệu bảng Anh mỗi ngày do mất doanh số.

Việc mã độc tống tiền Qilin liên tục nhắm mục tiêu vào các ngành sản xuất giá trị cao và cơ sở hạ tầng quan trọng nhấn mạnh trọng tâm chiến lược của nhóm. Chúng tập trung vào các ngành mà sự gián đoạn gây ra thiệt hại hoạt động và tài chính tối đa, tối đa hóa lợi nhuận từ các cuộc tấn công mạng.

Phạm Vi Mục Tiêu Đa Dạng và Liên Minh Ngầm của Qilin

Trong suốt tháng 10 năm 2025, Qilin đã liên tục công bố các nạn nhân mới trên khắp các châu lục: châu Âu, Bắc Mỹ, châu Phi và châu Á. Các tiết lộ gần đây bao gồm Cơ quan Quản lý Thuế của Tây Ban Nha, một số thành phố và nhà cung cấp dịch vụ chăm sóc sức khỏe của Hoa Kỳ, các cơ quan thành phố của Pháp, và các công ty công nghệ bảo hiểm của châu Phi.

Nhóm dường như đang đa dạng hóa mạnh mẽ các mục tiêu của mã độc tống tiền Qilin. Họ nhắm đến sự cân bằng giữa các tổ chức khu vực công lớn và các doanh nghiệp tư nhân hoạt động trong các chuỗi cung ứng quan trọng, thể hiện một chiến lược tấn công linh hoạt.

Việc tuyển dụng các tác nhân Triều Tiên trong quá khứ làm nổi bật sự sẵn lòng của Qilin trong việc tích hợp các chi nhánh nước ngoài. Điều này cho thấy sự hợp tác đang phát triển với các tác nhân được nhà nước bảo trợ hoặc các nhà môi giới truy cập độc lập, làm tăng thêm mức độ phức tạp của mối đe dọa mạng này.

Mối quan hệ cộng sinh giữa mã độc tống tiền Qilin và các nhà điều hành BPH, hiện được thống nhất dưới một tập đoàn ngầm trải rộng các khu vực nói tiếng Nga và Hong Kong, đặt ra một thách thức lớn đối với những người phòng thủ an ninh mạng trên toàn thế cầu.

Thách Thức An Ninh Mạng Toàn Cầu và Giải Pháp Ngăn Chặn

Việc phá vỡ các hệ sinh thái hosting ẩn danh này sẽ đòi hỏi sự phối hợp chặt chẽ giữa các cơ quan thực thi pháp luật quốc tế và áp lực pháp lý. Áp lực này cần được hướng đến các công ty vỏ bọc làm nền tảng cho các dịch vụ BPH, vốn là huyết mạch của các chiến dịch tấn công mạng.

Cho đến khi có những hành động quyết liệt và phối hợp như vậy, mã độc tống tiền Qilin vẫn sẵn sàng tận dụng các nền tảng hosting “ma” này. Mục đích là để thực hiện thêm các chiến dịch ransomware có tác động cao, tiếp tục đe dọa an ninh mạng toàn cầu.