Sei sotto attacco Cyber? Interveniamo subito

Qilin, il capolavoro industriale del cybercrime

Qilin, il capolavoro industriale del cybercrime

Qilin, il capolavoro industriale del cybercrime

Massimo Di Bernardo

Genova, fine marzo 2026: una città che non riesce a pagare le multe

Il 23 marzo 2026, alle 6:55 del mattino, qualcuno a Netalia, fornitore di servizi cloud di Genova che ospita sistemi informatici di una fetta significativa della Pubblica Amministrazione e di aziende private italiane, si accorge che qualcosa non va. Nelle ore successive i sistemi di pagamento online delle multe del Comune di Genova smettono di funzionare. Va offline anche Genova Parcheggi. La Procura apre un fascicolo per accesso abusivo a sistemi informatici. Il Comune è costretto a riaprire retroattivamente la finestra dei cinque giorni con sconto del 30% sulle sanzioni: senza il fornitore tecnologico, oggettivamente, le multe non si potevano pagare.

A rivendicare l’attacco è una gang criminale che si fa chiamare Qilin.

Se siete a capo di un’azienda italiana media, oppure responsabili dei sistemi informatici o della sicurezza, probabilmente questo nome lo avete già sentito di sfuggita, magari sepolto fra mille notizie tecniche di settore. È il momento di metterlo al centro del tavolo: nel 2026 Qilin è il primo gruppo ransomware al mondo per numero di vittime. I suoi “collaboratori esterni” vanno da bande di truffatori telefonici di livello mondiale fino a un’unità di intelligence nordcoreana. E come dimostra il caso Netalia, sta già entrando direttamente nella vita degli italiani anche quando la vittima diretta non sono loro, ma il loro fornitore IT.

Vediamo chi sono, come ci sono arrivati, e soprattutto cosa significa concretamente per chi ci legge.

Da “Agenda” a Qilin: come si costruisce un brand criminale

La storia comincia a luglio 2022. Su forum del cosiddetto dark web, ovvero la parte di internet non indicizzata dai motori di ricerca, dove si scambiano servizi illegali, appare una nuova proposta di Ransomware-as-a-Service (RaaS) chiamata Agenda, scritta in linguaggio Go. Il termine RaaS descrive un modello di business in tutto e per tutto simile a quello del software in abbonamento: chi sviluppa il virus non attacca direttamente le aziende, ma “affitta” il proprio prodotto a una rete di affiliati, in cambio di una percentuale sui riscatti incassati. Tecnicamente Agenda è solido, ma il nome è generico e in un mercato dominato da brand criminali consolidati come LockBit non sfonda.

A settembre 2022 succede una cosa che ricorda più una startup B2B che una banda criminale: rebranding. Il virus viene riscritto, migliorato, e l’operazione assume il nome Qilin, dalla creatura mitologica cinese, mezzo drago e mezzo cervo, simbolo di buon auspicio. Marketing puro, nemmeno troppo nascosto.

Da lì in avanti Qilin si distingue per due scelte commerciali aggressive:

  • Quote per gli affiliati molto generose: fino all’80% del riscatto se inferiore a 3 milioni di dollari, fino all’85% sopra. Quasi il doppio della media del settore criminale (dato confermato da Group-IB già nel 2023).
  • Una vera piattaforma di lavoro per gli attaccanti: pannello di controllo professionale, opzioni configurabili (velocità di crittografia, capacità di nascondersi, capacità di restare nei sistemi a lungo), supporto operativo. Non uno script messo insieme alla buona, ma un prodotto.

Quando nel 2025 LockBit collassa sotto il peso delle operazioni di polizia internazionale, e una gang concorrente (RansomHub) viene smantellata e parzialmente assorbita dal cartello DragonForce ad aprile 2025, gli affiliati rimasti senza casa migrano in massa verso Qilin. Nel giro di pochi mesi Qilin passa da “uno dei tanti” a leader assoluto del mercato.

I numeri del 2025-2026: non un gruppo qualsiasi, ma il gruppo

I numeri spiegano meglio di qualsiasi narrazione.

  • 2025: oltre 950 vittime confermate sul leak site secondo i dati Breachsense, oltre 1.000 secondo Barracuda. Primato assoluto del settore.
  • Inizio 2026: 55 vittime pubblicate sul loro sito di rivendicazioni nelle prime due settimane dell’anno (fonte: Barracuda Networks).
  • Marzo 2026: 131 vittime in un solo mese, record storico per Qilin e di fatto per qualsiasi gruppo ransomware monitorato. È il terzo mese consecutivo sopra le 100 vittime (gennaio 107, febbraio 104, marzo 131).
  • Q1 2026: 342 vittime in tre mesi. Nessun altro gruppo si avvicina (Akira, secondo classificato, ne ha 194).
  • Settori più colpiti: manifattura in testa (circa il 23% di tutte le vittime Qilin secondo Cisco Talos e Barracuda), seguita da servizi professionali, sanità e finanza.
  • Geografia: Stati Uniti nettamente al primo posto (oltre il 50% delle vittime ransomware globali totali), con Francia, Canada, Germania, Regno Unito e Italia tra le geografie più colpite.

E poi ci sono i casi singoli che hanno fatto scuola. Il più grave è del giugno 2024: l’attacco a Synnovis, fornitore di analisi di laboratorio per il sistema sanitario pubblico britannico (NHS, l’equivalente del nostro SSN). Risultato: nei primi 13 giorni 1.134 operazioni chirurgiche e 2.194 visite ambulatoriali cancellate solo presso King’s College e Guy’s and St Thomas’. Sull’intero arco dell’incidente NHS England ha contato 10.152 appuntamenti ambulatoriali e 1.710 procedure programmate posticipati. Qilin ha pubblicato online 400 GB di dati pazienti, comprendenti riferimenti a circa 900.000 individui ed estratti relativi a oltre 300 milioni di interazioni con il sistema sanitario britannico (analisi HIV, oncologiche, infezioni sessualmente trasmissibili). Costi diretti dichiarati da Synnovis: 32,7 milioni di sterline. E, confermato dall’inchiesta interna del King’s College Hospital, almeno una morte di paziente attribuita parzialmente ai ritardi diagnostici causati dall’attacco. Synnovis non ha pagato il riscatto da 50 milioni di dollari richiesto. L’impatto operativo è durato oltre 18 mesi: ad aprile 2026 almeno un trust NHS ancora non aveva ripristinato completamente i sistemi.

Chi lavora con Qilin: il network degli affiliati

Qui sta uno degli aspetti più interessanti, e inquietanti, di Qilin nel 2026: non è una gang chiusa, è un ecosistema.

  • Scattered Spider (noto anche come Octo Tempest o UNC3944): gruppo di lingua inglese famoso per la “manipolazione” telefonica, cioè per l’arte di farsi consegnare credenziali e accessi con una semplice chiamata. La tecnica si chiama vishing (voice phishing): tipicamente, l’attaccante telefona al supporto IT di un’azienda fingendosi un dipendente in difficoltà e si fa resettare la password o il sistema di autenticazione a più fattori. Microsoft ha confermato la loro affiliazione a Qilin nel luglio 2024. Sono gli stessi che nel 2023 hanno paralizzato le grandi catene alberghiere di Las Vegas (MGM Resorts, Caesars Entertainment) e che oggi, raggruppati nella coalizione Scattered Lapsus$ Hunters (un’alleanza tra Scattered Spider, ShinyHunters e Lapsus$), sono dietro al filone industrializzato di estorsioni via Salesforce che ha colpito ADT, Medtronic, Google, Cisco, Qantas, LVMH, Allianz Life e decine di altri brand globali. Il loro nuovo schema preferito non passa neanche più dal ransomware: vishing al supporto IT, accesso a Salesforce tramite OAuth, esfiltrazione di milioni di record, estorsione mesi dopo.
  • Moonstone Sleet: gruppo nordcoreano legato allo Stato, identificato da Microsoft a marzo 2025 mentre distribuiva proprio Qilin in alcuni attacchi (l’attività era iniziata a fine febbraio 2025). È una soglia importante: per la prima volta un attore statale usa apertamente un servizio criminale commerciale invece del proprio malware custom. La stessa cellula è stata poi collegata a novembre 2025 alla campagna “Korean Leaks” che ha colpito 28 aziende sudcoreane, in gran parte del settore finanziario, attraverso la compromissione di un singolo MSP a monte (l’azienda GJTec).
  • Devman, Arkana e altri affiliati minori, ma molto attivi.

Tradotto in pratica: quando si parla di “attacco Qilin”, non si parla di un solo modo di operare. Si parla di un’infrastruttura tecnica accessibile a operatori molto diversi tra loro, dai truffatori professionisti agli hacker di Stato. Lo stesso colpo finale, decine di approcci offensivi diversi a monte.

Come operano: i quattro modi con cui entrano in azienda

Le indagini delle principali società di cybersecurity (Cisco Talos, PRODAFT, Group-IB, Darktrace, Huntress) hanno ricostruito uno schema tecnico ricorrente. Sono quattro le porte d’ingresso principali.

  1. VPN e accessi remoti esposti. La VPN (Virtual Private Network) è il “tunnel” cifrato che permette ai dipendenti di lavorare da remoto come se fossero in ufficio. RDP (Remote Desktop Protocol) è il protocollo che consente di pilotare un computer Windows a distanza. Gli affiliati Qilin comprano sul dark web credenziali aziendali rubate mesi prima e le usano per autenticarsi alla VPN o alla RDP delle aziende vittime. Il firewall vede traffico autorizzato e non blocca nulla, perché chi entra ha, formalmente, credenziali valide. Cisco Talos ha documentato casi in cui le credenziali erano apparse sul dark web circa due settimane prima dei tentativi di autenticazione massivi sulla VPN.
  2. Vulnerabilità note nei firewall FortiGate non aggiornati. I FortiGate sono apparati di sicurezza perimetrale molto diffusi. Quando vengono scoperte falle (identificate da codici tipo CVE-2024-21762 e CVE-2024-55591, dove “CVE” sta per Common Vulnerabilities and Exposures, il registro pubblico mondiale delle vulnerabilità), i produttori rilasciano una correzione (patch). Le aziende che non applicano l’aggiornamento restano scoperte. Qilin sfrutta esattamente questa finestra: PRODAFT a giugno 2025 ha documentato una campagna automatizzata in cui Qilin (col nome operativo “Phantom Mantis”) sfruttava queste due vulnerabilità per entrare massivamente nelle reti. Il dispositivo che dovrebbe difendervi diventa la sua autostrada di ingresso.
  3. Veeam Backup & Replication non aggiornato (CVE-2023-27532). Veeam è uno dei software più usati per fare i backup aziendali. La vulnerabilità del 2023 consente agli attaccanti di estrarre le credenziali archiviate al suo interno, tipicamente quelle di amministratore dei sistemi più critici. Sfruttata da Qilin, Akira, Fog, Frag e altri gruppi. È l’ironia più amara di tutta la vicenda: il sistema di backup, quello che dovrebbe garantirvi di rialzarvi dopo un ransomware, viene usato come trampolino per affondarvi meglio.
  4. Telefonate al supporto IT (firma Scattered Spider). Una chiamata convincente, una richiesta di reset dell’autenticazione a più fattori (MFA, Multi-Factor Authentication: il sistema che chiede una seconda conferma oltre alla password), un’ora dopo l’attaccante è dentro Okta o Azure Active Directory, cioè dentro il sistema che governa tutti gli accessi alle applicazioni aziendali.

Una volta dentro, il copione è efficace e collaudato. Usano Cobalt Strike (uno strumento nato per i test di sicurezza professionali, oggi di fatto il “coltellino svizzero” del crimine informatico) per controllare i sistemi compromessi. Si spostano di server in server (gli addetti ai lavori la chiamano “movimento laterale”) sfruttando strumenti legittimi di Windows e PsExec. Si insediano stabilmente dentro l’azienda usando software di assistenza remota perfettamente legali come ScreenConnect e AnyDesk. Cancellano sistematicamente i log di sistema e le shadow copy di Windows prima del colpo finale. Tempo di permanenza medio nella rete prima dell’attacco: 19 giorni (dato ThreatLocker).

E il colpo finale è quello che fa più male, perché Qilin ha sviluppato una versione del proprio virus, scritta oggi in linguaggio Rust, dedicata agli ambienti VMware ESXi, la tecnologia che fa girare gran parte delle “macchine virtuali” nei datacenter aziendali (server che non sono macchine fisiche, ma simulazioni software in esecuzione su un singolo grande server fisico). Il virus non si limita a cifrare i dati: prima spegne forzatamente tutte le macchine virtuali, poi cancella le copie di sicurezza istantanee (snapshot), poi tenta di azzerare la password di amministratore del sistema centrale di gestione (vCenter), e solo dopo cripta tutto. L’effetto pratico è devastante: l’azienda non perde solo i sistemi in produzione, perde anche il piano B che pensava di avere.

La cifratura usata è di livello militare: AES-256-CTR sui sistemi che supportano l’accelerazione hardware, ChaCha20 sui sistemi più vecchi, con chiavi protette da RSA-4096. Non esiste scorciatoia matematica. Senza la chiave dell’attaccante, i dati sono persi per sempre.

Il fronte italiano: cinque mesi, decine di vittime note

Mentre molti continuano a considerare il ransomware come “qualcosa che capita ad altri”, Qilin nel 2026 ha già fatto cose molto serie sul nostro territorio.

Solo nel primo trimestre 2026, sui loro siti di rivendicazione sono comparsi:

  • Softlab S.p.A. (servizi IT/business, Roma), 8 gennaio
  • The Cressi (attrezzature subacquee), 8 gennaio
  • Colacem (cementi), 17 gennaio
  • Fluorsid S.p.A. (chimica), 17 gennaio
  • Casadei (manifattura), 19 gennaio
  • Netalia S.r.l. (cloud provider, Genova), 23 marzo, con effetto a cascata sul Comune di Genova e Genova Parcheggi

Ad aprile 2026 ad allungare la lista delle vittime italiane di Qilin si è aggiunto, fra altri, Marchesi di Barolo (l’attribuzione è contesa con il gruppo TheGentlemen, che ha rivendicato lo stesso bersaglio quattro giorni dopo).

La distribuzione settoriale parla da sé: manifattura, chimica, IT, cloud, food & beverage, sportwear. Non esistono “settori al sicuro” per Qilin. La selezione è opportunistica, non ideologica: chi è esposto, viene colpito.

La cosa che nessuno vi racconta: Qilin non è solo crittografia

Nel 2026 il modo di estorcere denaro di Qilin si è evoluto. Lo schema classico era la “doppia estorsione”: cifrare i dati per fermare l’azienda e chiedere il primo riscatto, e poi minacciare di pubblicarli per costringerla a pagare nuovamente. Oggi il vero strumento di pressione è la minaccia della pubblicazione dei dati rubati, che conta molto di più del blocco operativo.

Questo cambia completamente l’equazione difensiva. Se il rischio principale fosse l’indisponibilità dei sistemi, un buon backup offline e un piano di ripristino testato basterebbero. Ma se il rischio principale è la pubblicazione di 500 GB di dati clienti, contratti, schemi tecnici, documenti del personale, comunicazioni interne, allora il backup non vi salva. Il GDPR vi presenta il conto. I clienti istituzionali vi escludono dalle gare. La reputazione costruita in vent’anni va in rete in tre giorni.

Qilin lo ha capito perfettamente. Sul proprio sito di rivendicazioni rilascia i dati a fasi controllate, alimentando la pressione mediatica giorno dopo giorno. Ha persino introdotto nel pannello affiliati una funzione “Call Lawyer” che simula la presenza di un avvocato nelle trattative, e propone agli affiliati DDoS contro la vittima e “giornalisti interni” che scrivono articoli denigratori sui leak site. Non è solo un’estorsione tecnica: è una vera campagna di comunicazione contro la vittima.

Cosa serve davvero, oggi, per stare un passo avanti a Qilin

Diciamo le cose come stanno. Qilin non si batte con un singolo prodotto né con un singolo controllo. Serve un’architettura di difesa che copra contemporaneamente quattro punti, e li copra in modo continuativo, non a colpi di audit annuale.

  1. Visibilità sulla propria superficie d’attacco esterna. Le VPN esposte, i FortiGate non aggiornati, i Veeam raggiungibili da internet, le credenziali aziendali finite in un dump del dark web. Se non li conoscete voi, li conoscono già gli affiliati Qilin. Le piattaforme di EASM (External Attack Surface Management, gestione della superficie d’attacco esterna) e di CTI (Cyber Threat Intelligence, intelligence sulle minacce informatiche) servono esattamente a questo: scoprire ciò che siete prima che lo scopra qualcun altro, e correlarlo in tempo reale con quello che le gang stanno effettivamente facendo nel mondo.
  2. Rilevazione basata sul comportamento, non solo sulla “firma” del virus. Qilin usa Cobalt Strike, ScreenConnect, AnyDesk, PsExec: strumenti spesso legittimi e già presenti nelle vostre reti. L’antivirus tradizionale, che cerca firme di codice malevolo conosciuto, non li blocca: tecnicamente non sono nemmeno malware. Solo l’analisi del comportamento (sequenze di azioni, orari, volumi, anomalie nei flussi di rete) distingue l’amministratore di sistema vero da un attaccante che si finge tale. Sonde di rete (NDR/IDS: Network Detection and Response + Intrusion Detection System) e un servizio di monitoraggio H24 sono progettati per chiudere proprio questa finestra.
  3. SOC 24/7 con tempi di reazione misurati in minuti, non in ore. Il SOC (Security Operations Center) è la centrale operativa che monitora la sicurezza dell’azienda in tempo reale. Le moderne gang ransomware come Akira cifrano un’azienda in meno di quattro ore. Qilin spesso fa anche più in fretta sugli ambienti VMware. L’IT manager che venerdì sera non risponde al telefono è esattamente la finestra che cercano. Un SOC gestito potenziato dall’intelligenza artificiale dà presidio H24 e risposta automatica entro la finestra utile.
  4. Strategia di resilienza, non solo difesa tecnica. Backup offline e immutabili (cioè non modificabili nemmeno da chi ha le credenziali), piano di Incident Response (IR) testato davvero (non solo scritto in un PDF nel cassetto), autenticazione a più fattori “resistente al phishing”, quindi chiavette fisiche tipo FIDO2 o passkey, non più i semplici codici OTP (One-Time Password) via SMS o app, che gli attaccanti hanno imparato a bypassare. Servono inoltre regole di accesso condizionale sui sistemi cloud critici (Salesforce, Microsoft 365, Google Workspace e in generale tutto il SaaS, Software as a Service) ed esercitazioni di simulazione con il management. Qui non serve un tool: serve una funzione strategica che lavori con voi sul rischio di business, non sui ticket.

Conclusioni

Qilin non è un’astrazione tecnica. È un’azienda criminale ben finanziata, ben strutturata, che oggi conta oltre mille vittime all’anno e cresce. Ha imparato a fare marketing, a gestire i propri “affiliati” come una rete di vendita, a pagarli meglio della concorrenza. Sta stringendo alleanze con cartelli concorrenti e con attori statali. E, contrariamente a quanto si racconta, non sceglie le proprie vittime in base al settore o alla nazionalità: trova chi è esposto, e colpisce.

La domanda da farsi questo lunedì non è “siamo abbastanza protetti contro Qilin?”. È: “se domani mattina alle 6:55, come è successo a Netalia il 23 marzo, qualcuno bussasse al nostro perimetro, ce ne accorgeremmo? In quanto tempo? Chi reagirebbe? E cosa perderemmo davvero, i sistemi, i dati, o entrambi?”

Se la risposta a una sola di queste domande non è chiara e quantificata, il rischio non è teorico. È concreto, ed è già qui.

Hai bisogno di una consulenza? Contattaci!

    Logo Digimetrica

    Il partner per la sicurezza informatica della tua azienda

    Link rapidi

    Servizi

    Iscriviti alla nostra Newsletter

      Seguici sui social:

      Linkedin-in Facebook-f Youtube X-twitter