Qilin dominiert im April: Neue Angriffswelle mit raffinierter Malware-Kette : Qilin nutzt den hochgradig verschleierten NETXLOADER und füllt das Machtvakuum nach dem Verschwinden von RansomHub

Ein wesentlicher Grund für den Aufschwung: Der Zusammenbruch der Ransomware-Gruppe RansomHub, die bis dahin zu den aktivsten Akteuren zählte.

Laut dem Sicherheitsunternehmen Flashpoint gehörte RansomHub im Jahr 2024 zu den aktivsten Ransomware-Gruppen überhaupt. Allein im Finanzsektor wurden zwischen April 2024 und April 2025 38 Unternehmen Opfer ihrer Angriffe. Im April 2025 verschwand die Ransomware-Gruppe plötzlich von der Bildfläche. Ihre Darknet-Infrastruktur, einschließlich der Leak-Seite und Kommunikationskanäle, ging am 1. April offline. Die Gründe für diesen abrupten Rückzug sind bislang unklar. Zahlreiche der Affiliates wechselten nach dem mysteriösen Abtauchen der Gruppe offenbar ins Qilin-Lager und trieben deren Kampagnen in neue Höhen.

Die Agenda-Ransomware (Qilin) war laut Trend Micro im ersten Quartal 2025 besonders häufig in den Branchen Gesundheitswesen, Technologie, Finanzdienstleistungen und Telekommunikation im Einsatz – vor allem in den Vereinigten Staaten, den Niederlanden, Brasilien, Indien und auf den Philippinen.

Tarnung auf neuem Niveau: NETXLOADER ebnet den Weg für Agenda-Ransomware

Ein zentrales Werkzeug in diesen Angriffen ist der neue Schadprogramm-Lader NETXLOADER. Dieses Programm ist stark getarnt und dafür gebaut, weitere Schadsoftware aus dem Internet nachzuladen, unter anderem SmokeLoader und die Agenda-Ransomware.

Damit Sicherheitssysteme ihn nicht erkennen, nutzt NETXLOADER eine Reihe von Verschleierungstechniken: Er wird durch den .NET Reactor Version 6 geschützt, versteckt seine eigentliche Funktion hinter unsinnigen Methodennamen, verändert den Programmablauf künstlich und setzt auf technische Tricks wie JIT-Hooking, die eine Untersuchung oder Entdeckung extrem erschweren.

„Die Angreifer setzen mit NETXLOADER auf eine neue, deutlich ausgeklügeltere Methode, um Schadsoftware ins Zielsystem zu bringen“, so Trend Micro. „Der Lader ist so stark verschleiert, dass man den tatsächlichen Schadcode nicht erkennen kann – selbst wenn man ihn untersucht. Erst wenn man das Programm wirklich ausführt und im Arbeitsspeicher beobachtet, zeigt sich, was es tatsächlich macht. Auch eine Analyse anhand von Begriffen im Code bringt nichts, weil alle verräterischen Hinweise absichtlich unkenntlich gemacht wurden.“

Schwer beirrbar auf zerstörerische Aktionen gerichtet

Die nachgeladene Malware SmokeLoader verfolgt eine klare Strategie: Sie erkennt, ob sie in virtuellen Maschinen oder Sandboxes läuft, beendet gezielt bestimmte Prozesse und bereitet das System auf den finalen Schritt vor – das Nachladen und Ausführen der Agenda-Ransomware per reflective DLL loading. Ziel der Angreifer sind besonders sensible Umgebungen wie Domänennetzwerke, Speichersysteme, ESXi-Server und Cloud-Infrastrukturen.

Die technische Weiterentwicklung zeigt sich auch in den neuen Fähigkeiten der Agenda-Ransomware selbst. Laut Trend Micro kann sie inzwischen gezielt Netzwerklaufwerke, Backups und virtualisierte Systeme lahmlegen – ein klarer Hinweis auf ihre steigende Bedrohung für Unternehmen – besonders solche in kritischen Infrastrukturen.

Die Angriffe von Qilin stehen exemplarisch für die Professionalisierung im Ransomware-Markt: Technisch versierte Tools, flexible Affiliate-Modelle und hochgradig automatisierte Kampagnen machen die Abwehr immer schwieriger. Unternehmen sollten ihre E-Mail-Sicherheit, Zugriffskontrollen und Endpoint-Überwachung jetzt kritisch überprüfen – denn Qilin hat bewiesen, dass moderne Ransomware weit mehr kann als nur Daten verschlüsseln.