Ransomware Qilin Jalankan Enkriptor Linux di Windows Lewat WSL untuk Hindari Deteksi Antivirus

Jakarta — Operasi ransomware Qilin kembali menarik perhatian dunia keamanan siber setelah ditemukan menjalankan enkriptor Linux di sistem Windows melalui fitur Windows Subsystem for Linux (WSL) untuk menghindari deteksi dari perangkat lunak keamanan tradisional.

Temuan ini diungkap oleh peneliti keamanan dari Trend Micro dan Cisco Talos, yang menyebut Qilin kini termasuk dalam kelompok ransomware paling aktif di dunia, dengan lebih dari 700 korban di 62 negara sepanjang tahun 2025.

🧬 Evolusi Qilin: Dari “Agenda” ke Ransomware Global

Ransomware ini pertama kali muncul pada Agustus 2022 dengan nama Agenda, kemudian rebranding menjadi Qilin pada September tahun yang sama.
Sejak pertengahan 2025, kelompok ini tercatat memublikasikan lebih dari 40 korban baru setiap bulan, dengan target utama mencakup perusahaan-perusahaan besar lintas sektor.

🧠 Teknik Penyerangan yang Kompleks dan Terorganisir

Menurut laporan Trend Micro dan Talos, afiliasi Qilin menggunakan kombinasi alat sah (legitimate tools) dan program administratif jarak jauh untuk menyusup ke jaringan korban dan mencuri kredensial, antara lain:

• AnyDesk, ScreenConnect, Splashtop → akses jarak jauh,
• Cyberduck, WinRAR → pencurian dan kompresi data,
• Microsoft Paint dan Notepad → digunakan untuk memeriksa dokumen sensitif sebelum dicuri.

Selain itu, Qilin juga memanfaatkan serangan Bring Your Own Vulnerable Driver (BYOVD), dengan menyalahgunakan driver resmi namun rentan seperti eskle.sys untuk menonaktifkan antivirus dan EDR.
Mereka juga melakukan DLL sideloading untuk menanam driver tambahan seperti rwdrv.sys dan hlpdrv.sys guna mendapatkan hak kernel penuh.

Talos mendeteksi penggunaan alat “dark-kill” dan “HRSword” untuk menonaktifkan perlindungan keamanan dan menghapus jejak aktivitas berbahaya.

🧩 Menjalankan Enkriptor Linux di Windows Lewat WSL

Dalam laporan terbaru, Trend Micro menemukan bahwa Qilin mengirimkan file enkriptor berbasis Linux (format ELF) ke perangkat korban melalui WinSCP, lalu menjalankannya menggunakan Splashtop Remote Manager (SRManager.exe) — semuanya dilakukan langsung di lingkungan Windows.

Namun, karena file ELF tidak dapat dijalankan secara native di Windows, para pelaku mengaktifkan atau menginstal WSL (Windows Subsystem for Linux) untuk mengeksekusi enkriptor tersebut.

“Setelah mendapatkan akses, pelaku mengaktifkan atau memasang WSL melalui skrip atau perintah CLI, lalu menjalankan payload ransomware Linux di dalamnya,” jelas Trend Micro.
“Dengan cara ini, mereka bisa menjalankan enkriptor Linux langsung di host Windows sambil menghindari banyak sistem pertahanan yang fokus mendeteksi malware berbasis Windows.”

🧱 Mengapa Teknik Ini Efektif

Sebagian besar produk EDR (Endpoint Detection & Response) difokuskan untuk mendeteksi perilaku file Windows Portable Executable (PE).
Akibatnya, aktivitas berbahaya yang berjalan di lingkungan WSL (berbasis Linux) sering tidak terpantau oleh solusi keamanan Windows, membuat teknik ini sangat sulit dideteksi.

Qilin memanfaatkan hal ini untuk mengeksekusi enkripsi file lintas platform (Windows dan Linux), menargetkan server VMware ESXi, sistem virtualisasi, serta server hybrid cloud.

🧠 Contoh Perintah Linux Enkriptor Qilin

Versi Linux dari Qilin dilengkapi berbagai parameter perintah (CLI) seperti:

• –debug → mode diagnostik,
• –dry-run → simulasi tanpa enkripsi,
• –vm-snapshot → menyesuaikan cara enkripsi pada mesin virtual dan snapshot-nya.

Fitur ini menunjukkan bahwa Qilin dikembangkan secara profesional untuk menyasar lingkungan data center dan virtualisasi tingkat tinggi.

🛡️ Langkah Pencegahan

Untuk melindungi sistem dari taktik baru ini, para ahli menyarankan:

1. Nonaktifkan atau batasi penggunaan WSL jika tidak dibutuhkan.
2. Pantau instalasi distribusi Linux di Windows — aktivitas WSL yang tidak biasa bisa jadi indikasi kompromi.
3. Perbarui EDR/antivirus agar mampu memantau aktivitas di dalam WSL.
4. Batasi penggunaan akun administrator, dan audit instalasi perangkat lunak jarak jauh seperti AnyDesk atau Splashtop.
5. Backup data penting secara offline, dan gunakan segmentasi jaringan untuk membatasi penyebaran ransomware.

🚨 Kesimpulan

Kasus Qilin menunjukkan bagaimana kelompok ransomware terus beradaptasi dengan lingkungan hybrid Windows–Linux, memanfaatkan fitur sah seperti WSL untuk menghindari deteksi.
Pendekatan ini menandai tren baru dalam evolusi ransomware, di mana batas antara platform sistem operasi semakin kabur — dan perlindungan konvensional tidak lagi cukup.