Le gang de ransomware Qilin professionnalise le crime en offrant une protection juridique à ses pirates. Une évolution inquiétante du modèle RaaS.
Une entreprise attaquée, des systèmes chiffrés, une rançon à payer. Ce scénario, hélas classique, prend une tournure inquiétante avec Qilin. Pour forcer les entreprises à payer coûte que coûte, le gang mise sur la pression maximale. Et pour mettre toutes les chances de son côté, il va jusqu’à proposer un soutien juridique à ses affiliés afin de renforcer l’impact psychologique et stratégique de leurs négociations. Derrière cette stratégie se dessine une nouvelle étape dans la professionnalisation du ransomware, où la pression psychologique s’habille de codes légaux.
Une fonctionnalité inédite pour faire monter la pression
Depuis mai 2025, les affiliés du groupe Qilin peuvent cliquer sur un bouton « Call Lawyer » depuis leur interface de gestion pour solliciter un juriste. Le rôle ? Évaluer la situation légale de la victime, chiffrer les risques juridiques et reputations potentiels, et assister lors des négociations. L’objectif est clair : renforcer la crédibilité de la menace en mimant les codes du droit.
Ce n’est pas un simple effet de manche. Selon un message publié sur un forum clandestin, la présence d’un avocat dans la conversation suffirait à créer un effet psychologique, incitant l’entreprise à payer pour éviter toute procédure légale. Qilin recommande même à ses affiliés d’user de cette stratégie pour maximiser les dégâts en cas de refus de coopération.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Qilin, un acteur structuré et en pleine expansion
Apparu en 2022, Qilin (également connu sous les noms de Gold Feather ou Water Galura) s’est imposé en quelques mois comme l’un des groupes les plus actifs du paysage ransomware. En avril 2025, il aurait revendiqué 72 attaques, puis 55 en mai, ce qui le place juste derrière Safepay et Luna Moth.
Qilin profite de la chute de groupes concurrents comme LockBit, BlackCat ou RansomHub pour attirer de nouveaux affiliés, séduits par une infrastructure technique solide : charges malveillantes en Rust et C, outils de contournement avancés, propagation réseau, effacement de logs, et négociation automatisée. Tout est pensé pour industrialiser les attaques.
Mais ce n’est pas tout. Le groupe propose également un panel de services dignes d’une entreprise : stockage de données à grande échelle, service de spam ciblé, fonctions DDoS, et désormais une équipe de rédaction pour aider à la communication de crise… criminelle.
Un pas de plus vers la cybercriminalité comme service
Avec cette panoplie de fonctionnalités, Qilin ne se contente plus d’être un fournisseur de rançongiciels. Il se présente comme une véritable plateforme tout-en-un pour cybercriminels en quête d’efficacité. L’apparition d’un service juridique constitue un tournant : elle crédibilise le groupe, attire les affiliés et transforme la négociation en un théâtre où l’intimidation prend des formes de plus en plus raffinées.
Guide de survie au cybercrime en entreprise
Ce Guide de survie au cybercrime en entreprise présente les principales menaces, mais aussi les solutions pour limiter les risques ou réagir en cas d’attaque. Il rend accessible à tous les principes essentiels pour comprendre le sujet de façon simple.
🛒 Le lien ci-dessus est affilié : en commandant via ce lien, vous soutenez la veille DCOD sans frais supplémentaires 🙏
Ce mouvement s’inscrit dans une tendance plus large : celle de la professionnalisation des opérations malveillantes. Certains groupes n’hésitent plus à déposer des plaintes officielles auprès de régulateurs pour faire pression sur leurs victimes. D’autres, comme Qilin, investissent dans l’image, les outils et le support pour renforcer leur poids dans l’écosystème cybercriminel.
Rebondissements et dynamiques du marché souterrain
Dans ce contexte, la concurrence reste vive. Certains affiliés de RansomHub auraient migré vers Qilin, dopant son activité. En parallèle, d’autres affaires révèlent la complexité de ce monde : l’extradition vers les États-Unis d’un membre du groupe Ryuk soupçonné d’avoir servi d’intermédiaire pour accéder aux réseaux, ou encore l’arrestation en Thaïlande de membres d’un gang chinois qui utilisait un hôtel comme centre d’opérations ransomware.
Enfin, les fuites récentes sur les discussions internes du groupe Black Basta mettent en lumière les profils en coulisse. L’un de leurs négociateurs, connu sous le pseudonyme « tinker », était chargé d’identifier les décideurs, rédiger des e-mails de phishing et coordonner des campagnes via Microsoft Teams. Sa rémunération ? Plus de 100 000 dollars en cryptomonnaies sur six mois.
Dans cet écosystème en perpétuelle mutation, Qilin fait figure de pionnier, non par sa seule capacité de nuisance, mais par la sophistication de son modèle économique. Derrière chaque bouton « Call Lawyer » se cache une réalité inquiétante : la transformation de la criminalité numérique en une industrie structurée et ambitieuse.
Pour en savoir plus
Qilin propose un bouton « Appeler un avocat » aux affiliés qui tentent d’extorquer des rançons aux victimes qui refusent de payer.
Le ransomware Qilin ajoute un bouton « Appeler un avocat » pour aider les affiliés dans les négociations de rançon, imitant ainsi les tactiques commerciales légitimes.
Le rançongiciel Qilin ajoute la fonctionnalité « Appeler un avocat » pour faire pression sur les victimes et leur demander des rançons plus importantes.
Les acteurs de la menace derrière le système de rançongiciel en tant que service (RaaS) Qilin proposent désormais des conseils juridiques aux affiliés pour faire davantage pression sur les victimes afin qu’elles paient, alors que le groupe de cybercriminalité intensifie son activité et tente de combler le vide laissé par…
(Re)découvrez également :
Black Basta et Medusa : deux ransomwares en pleine expansion en 2025
La montée des ransomwares Black Basta et Medusa en 2025 souligne la professionnalisation du cybercrime avec des attaques massives et sophistiquées.
Black Basta : 200 000 messages internes dévoilent les coulisses d’un empire cybercriminel
Une fuite massive de messages internes de Black Basta révèle des conflits internes.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
