Sécurité du réseau

Qilin neutralise les EDR en quelques secondes avec une DLL piégée visant 300 pilotes

Photo of Olivier Gouin Olivier Gouin Follow on Twitter avril 3, 2026
0 351 4 minutes de lecture
Analystes cybersécurité surveillant une attaque ransomware en salle SOC
Des analystes en centre opérationnel de sécurité lors d’une investigation sur un ransomware.

Qilin ne se contente plus de chiffrer des fichiers, il commence par éteindre les alarmes. Les analystes ont observé une DLL malveillante, msimg32. dll, intégrée à une chaîne d’infection en plusieurs étapes, dont l’objectif est clair, neutraliser presque tout ce qui ressemble à un EDR sur la machine avant que l’équipe sécurité ne voie quoi que ce soit.

Le point qui frappe, c’est l’ampleur industrielle de l’attaque. Cette DLL est conçue pour terminer plus de 300 pilotes liés à des solutions de sécurité, couvrant une grande partie des éditeurs du marché. Quand la télémétrie tombe, processus, mémoire, réseau, tu perds la chronologie, tu perds les preuves, et l’attaquant gagne du temps pour déployer la suite, chiffrement, effacement de traces, parfois auto-suppression.

Cisco Talos décrit msimg32. dll et une liste de 300 pilotes EDR

Dans l’analyse technique, Cisco Talos détaille une DLL baptisée msimg32. dll qui sert de premier étage à une exécution en cascade. L’idée est simple, tu coupes la collecte de télémétrie locale avant de lancer le reste. Sans événements fiables sur les créations de processus, les accès mémoire ou l’activité réseau, l’investigation s’appuie sur des indices incomplets, et la détection comportementale perd une partie de sa portée.

Le chiffre à retenir, c’est la capacité à terminer plus de 300 pilotes associés à des produits EDR, pratiquement tous les grands fournisseurs sont concernés. Pour un SOC, ça change la lecture d’un incident, tu peux voir un poste « calme », alors qu’il est déjà en phase de préparation. Et quand l’EDR est aveuglé, même une règle bien pensée sur le chiffrement massif arrive trop tard, parce que l’attaquant a déjà sécurisé son exécution.

Marc Dubois, analyste réponse à incident, résume le problème de façon très terre-à-terre, quand on coupe l’EDR, on coupe surtout le film de l’attaque, il ne reste que des captures d’écran. Et il ajoute une nuance utile, ce type d’outil n’est pas magique, il dépend du contexte, droits suffisants, compatibilités, et timing. Mais dans une intrusion bien préparée, ce timing est précisément ce que les attaquants travaillent.

Blackpoint relie upd. exe et avupdate. dll au chargement d’EDRSandblast

Blackpoint Cyber décrit un scénario concret observé en janvier 2025, un exécutable légitime signé, upd. exe, est utilisé pour charger latéralement une DLL, avupdate. dll. Dans un environnement normal, upd. exe correspond à un outil de mise à jour du capteur Carbon Black Cloud. Là, le chargement de DLL devient une porte d’entrée, la DLL malveillante décode puis charge un composant personnalisé lié à un tueur d’EDR.

Le fichier mentionné comme charge utile, web. dat, sert à exécuter une version adaptée d’EDRSandblast. Le mécanisme vise l’évasion défensive, en s’attaquant aux composants noyau et aux services de sécurité. Blackpoint note aussi des techniques de réduction d’indices, nettoyage de journaux Windows, arrêt de services associés à des outils de sécurité, et suppression de l’implant pour limiter les traces. Là, tu comprends le plan, moins de logs, moins d’alertes, plus de marge.

Sur le volet chiffrement, le rapport indique que Qilin. B prend en charge AES-256-CTR lorsque la machine dispose d’optimisations AES-NI, et protège les clés via RSA-4096 OAEP. Dit autrement, même si tu reprends la main après coup, la crypto est pensée pour tenir. Et c’est là que je mets un bémol, ces détails crypto impressionnent, mais le vrai levier opérationnel reste l’accès initial et la capacité à désactiver la défense avant le déclenchement.

Halcyon et Blackpoint montrent des intrusions via RDP et un faux svchosts. exe

Halcyon raconte un cas où une simple lettre a suffi à passer sous le radar, svchosts. exe au lieu de svchost. exe. Résultat, le binaire a contourné Windows Defender et un EDR, et a atterri sur 30 endpoints dans une entreprise de services financiers. C’est un rappel brutal, beaucoup d’outils cherchent du connu, signatures, hashes, patterns, et un ajustement minime peut suffire à brouiller la lecture.

Blackpoint décrit aussi un enchaînement orienté accès distant. Un exécutable en Golang, nommé main. exe, ouvre un tunnel inverse via SSH vers une adresse IP, puis l’attaquant se déplace en interne avec RDP et des outils de gestion à distance. Dans ce contexte, le tueur d’EDR n’est pas un gadget, c’est l’étape qui rend le mouvement latéral moins bruyant et qui prépare le terrain à des actions destructrices.

Le sujet qui inquiète les équipes défense, c’est la logique BYOVD, amener un pilote vulnérable pour obtenir des capacités de bas niveau. Blackpoint rappelle qu’EDRSandblast est souvent configuré autour de pilotes vulnérables déjà connus et fréquemment bloqués, donc les attaquants personnalisent et cherchent un autre pilote moins détecté. L’évolution reste incertaine, mais la tendance est nette, la défense devient une cible directe, et les entreprises doivent prévoir le scénario où l’EDR tombe, au lieu de parier qu’il tiendra toujours.

À retenir

  • Qilin utilise une DLL malveillante pour neutraliser la télémétrie EDR avant le chiffrement.
  • La chaîne observée peut viser plus de 300 pilotes liés à des solutions de sécurité.
  • Des campagnes récentes montrent du sideloading via upd.exe et l’usage d’EDRSandblast.
  • Des intrusions combinent RDP, tunnels SSH et camouflage de binaires comme svchosts.exe.

Questions fréquentes

Qu’est-ce qu’un “EDR killer” dans le cas de Qilin ?
C’est un composant conçu pour désactiver ou contourner les fonctions de détection et de réponse sur les endpoints, en terminant notamment des pilotes et en réduisant la télémétrie disponible pour les défenseurs. Dans les cas étudiés, une DLL sert de premier étage pour neutraliser l’EDR avant les étapes suivantes de l’attaque.
Pourquoi la DLL msimg32.dll est-elle importante dans cette campagne ?
Parce qu’elle illustre une approche multi-étapes où la priorité est de couper la visibilité des outils de sécurité. L’analyse attribue à cette DLL la capacité de terminer un grand nombre de pilotes liés à des EDR, ce qui complique la détection comportementale et l’investigation.
Comment upd.exe et avupdate.dll s’insèrent-ils dans l’infection ?
Les recherches décrivent l’utilisation d’un exécutable signé, upd.exe, pour charger latéralement une DLL, avupdate.dll, contenant du code malveillant. Cette DLL décode et charge une version personnalisée d’un outil de neutralisation EDR, via un fichier mentionné comme web.dat.
Quels signaux opérationnels ressortent des cas décrits ?
Des éléments récurrents apparaissent, tunnel inverse via SSH, déplacements internes via RDP, arrêt de services de sécurité, nettoyage de journaux Windows, et camouflage de binaires par des noms proches de processus légitimes, comme svchosts.exe.

Sources

Tags
Afficher plus
Photo of Olivier Gouin

Olivier Gouin

Olivier occupe aujourd'hui la fonction de Coordonnateur Régional sur la Zone Ouest (défense) du Réseau des Experts Cyber Menaces de la Police Nationale - Le RECyM depend de l'Office Anti-Cybecriminalité (OFAC). Son parcours illustre une synergie unique entre les univers de la défense et du monde civil, du public comme du privé, dans des domaines de la haute technologique, de la sécurité de l'information, de l'industrie et du secteur des services, de la gestion des risques et des assurances. Son expertise s'étend également à la formation spécialisée, notamment auprès des Compagnies d'assurances, des Courtiers et des Agents Géneraux sur les risques liés au numerique et à la cybersécurité. Très présent dans le monde de l'innovation technologique et du numérique, il a accompagné des projets et des programmes dans les secteurs technologiques de pointes et dans un environnement dual. Il a été également co-fondateur du Clusir Bretagne

Articles similaires

Photo of Comment le botnet Masjesu relance le marché du DDoS à la demande via Telegram

Comment le botnet Masjesu relance le marché du DDoS à la demande via Telegram

avril 9, 2026
Photo of Espionnage par fibre optique : une faille révélée transforme les câbles en micros

Espionnage par fibre optique : une faille révélée transforme les câbles en micros

avril 8, 2026
Photo of 2 clics, 1 lien, plus d’effraction, la cybercriminalité profite de la connexion, ce qui change pour vous et vos comptes

2 clics, 1 lien, plus d’effraction, la cybercriminalité profite de la connexion, ce qui change pour vous et vos comptes

mars 6, 2026
Photo of 4 failles critiques, 300 000 identifiants compromis, nouveaux logiciels malveillants, ce que SonicWall affronte

4 failles critiques, 300 000 identifiants compromis, nouveaux logiciels malveillants, ce que SonicWall affronte

février 8, 2026

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer