O grupo Qilin, conhecido por operar no modelo de ransomware-as-a-service (RaaS), tem intensificado suas ações em 2025 com foco em pequenas e médias empresas (PMEs), especialmente nos setores de construção, saúde e finanças. A operação combina roubo de dados com criptografia de arquivos para aumentar a pressão sobre as vítimas. Relatório da empresa de inteligência S-RM aponta que os ataques exploram falhas comuns como VPNs desatualizadas, ausência de autenticação multifator (MFA) e interfaces de gerenciamento expostas à internet. Essas brechas facilitam o acesso inicial dos invasores, que posteriormente implantam o ransomware. Mesmo sendo uma operação ativa desde 2023, o Qilin tem evitado os holofotes.
No entanto, análises recentes mostram que afiliados do grupo Scattered Spider estão utilizando a infraestrutura do Qilin, o que indica colaboração entre diferentes grupos cibercriminosos e uma rede de atuação mais ampla do que se imaginava. Em 2025, cerca de 88% dos ataques atribuídos ao Qilin envolveram não apenas criptografia de sistemas, mas também o vazamento de dados confidenciais em sites da dark web, caso o resgate não fosse pago.
Em alguns casos, os criminosos passaram a usar Telegram e sites públicos como WikiLeaksV2 para divulgar as informações roubadas. Segundo os analistas, o Qilin funciona como uma empresa: seus afiliados alugam ferramentas, compartilham lucros e testam continuamente novas formas de invadir redes. Esse modelo comercial dificulta a atribuição direta dos ataques e torna a defesa mais complexa. A maioria das vítimas são PMEs que não contam com equipes de segurança dedicadas e mantêm infraestruturas desatualizadas, tornando-se alvos fáceis para grupos como o Qilin. Além disso, muitas dessas empresas não implementam controles básicos como MFA ou segmentação de rede.
