Qilins nätverk för bulletproof-hosting har blivit ett avgörande verktyg för cyberkriminella. Genom att gömma sig bakom leverantörer som ignorerar borttagningsbegäranden kunde ransomware-gruppen genomföra det uppmärksammade Asahi-hacket i Japan och samtidigt utöka sin globala räckvidd.
Vad är bulletproof-hosting?
Bulletproof-hostingtjänster gör det möjligt för kunder att driva skadliga servrar samtidigt som de undviker upptäckt eller nedstängning. Dessa leverantörer baserar ofta sin verksamhet i länder med svag reglering och minimal samverkan med brottsbekämpande myndigheter.
Cybersäkerhetsforskare varnar för att sådana nätverk utgör själva ryggraden i ransomware-verksamheter som Qilin. De skyddar kommandocentraler, möjliggör datastöld och gör det nästan omöjligt för utredare att spåra attackerna.
Asahi-incidenten i Japan
I mitten av 2025 utsattes Asahi Breweries i Japan för en allvarlig ransomware-attack. Intrånget störde dryckesproduktionen och tvingade delar av distributionskedjan att stängas ner. Qilin tog senare på sig ansvaret på sin läckesajt och hotade att offentliggöra stulen företagsdata.
Incidenten visade hur gruppen utnyttjade bulletproof-hosting för att behålla stabil kontroll över infekterade system samtidigt som den dolde sin infrastruktur. Säkerhetsföretaget Resecurity bekräftade att Qilin använde roterande IP-adresser och anonyma domäner som hostades via underjordiska BPH-nätverk.
Qilins växande verksamhet
Sedan sin debut 2022 under namnet Agenda har Qilin utvecklats till en omfattande ransomware-as-a-service (RaaS)-operation. Gruppens partner har attackerat företag i Europa, Nordamerika och Asien – särskilt inom energi, tillverkning och offentlig förvaltning.
Qilin använder avancerade double-extortion-taktiker, där de stjäl känslig information innan nätverk krypteras. Gruppen samarbetar dessutom med etablerade bulletproof-hosting-leverantörer som Bearhost Servers, kända för att hysa kriminell infrastruktur.
Kopplingar till statliga aktörer
Microsofts Threat Intelligence-team har observerat likheter mellan Qilins metoder och aktiviteter från Moonstone Sleet, en aktör med kopplingar till Nordkorea. Experter misstänker att de två grupperna delar verktyg eller infrastruktur, vilket försvårar både spårning och motåtgärder.
Försvar mot hot baserade på BPH
Organisationer kan minska risken för ransomware-attacker som utnyttjar BPH genom att:
- Övervaka domäner och IP-adresser i realtid.
- Samarbeta med internetleverantörer och underrättelsenätverk.
- Införa zero-trust-åtkomstkontroller och segmenterad arkitektur.
- Utveckla en omfattande incidenthanteringsplan med snabba isoleringsrutiner.
Slutsats
Qilins bulletproof-hosting-modell visar hur motståndskraftig infrastruktur gör moderna ransomware-operationer möjliga. När brottsbekämpande myndigheter intensifierar kampen mot cyberbrott kommer hotaktörer att fortsätta utnyttja dessa skyddade hostingmiljöer. Att stärka infrastrukturen, förbättra insynen och hålla säkerhetsåtgärder uppdaterade förblir de mest effektiva strategierna mot dessa ihärdiga hot.
0 svar till ”Qilins bulletproof-hosting: den dolda ryggraden bakom Asahi-hacket”