與麒麟 勒索軟體家族有聯繫的威脅行為者利用了名為SmokeLoader的惡意軟體以及代號為 NETXLOADER 的以前未記錄的 .NET 編譯加載程序，這是 2024 年 11 月觀察到的一項活動的一部分。

趨勢科技研究人員 Jacob Santos、Raymart Yambot、John Rainier Navato、Sarah Pearl Camiling 和 Neljorn Nathaniel Aguas在周三的分析中表示： “NETXLOADER 是一種基於 .NET 的新型加載器，在網絡攻擊中發揮著關鍵作用。”

在隱藏期間，它會秘密部署其他惡意負載，例如 Agenda 勒索軟體和 SmokeLoader。受 .NET Reactor 6 保護，NETXLOADER 很難被分析。

Qilin，也稱為 Agenda，自 2022 年 7 月出現在威脅領域以來一直是一種活躍的勒索軟體威脅。去年，網路安全公司 Halcyon 發現了該勒索軟體的改進版本，並將其命名為 Qilin.B。

Group-IB 分享的最新數據顯示，自 2025 年 2 月以來，麒麟資料外洩網站上的揭露內容增加了一倍多，使其成為4 月最大的勒索軟體組織，聲稱受害者人數為 72 人，超過了 Akira、Play 和 Lynx 等其他組織。

這家新加坡網路安全公司上個月底「從 2024 年 7 月到 2025 年 1 月，麒麟的關聯公司每月披露的公司數量不超過 23 家。」 「表示

據稱，自上個月初 RansomHub 突然關閉以來，麒麟也因大量聯盟夥伴的湧入而受益。據 Flashpoint 稱，RansomHub 是2024 年第二活躍的勒索軟體組織，在 2024 年 4 月至 2025 年 4 月期間，金融領域共有38 名受害者。

根據趨勢科技 2025 年第一季的數據，「Agenda 勒索軟體活動主要出現在美國、荷蘭、巴西、印度和菲律賓的醫療保健、科技、金融服務和電信領域」。

該網路安全公司表示，NETXLOADER 是一種高度混淆的載入器，旨在啟動從外部伺服器檢索的下一階段有效載荷（例如「bloglake7[.]cfd」），然後用於投放 SmokeLoader 和 Agenda 勒索軟體。

受 .NET Reactor 版本 6 的保護，它還採用了一系列技巧來繞過傳統的檢測機制並抵制分析工作，例如使用即時 (JIT) 掛鉤技術、看似毫無意義的方法名稱和控制流混淆。

趨勢科技表示：「運營商使用 NETXLOADER 是惡意軟體傳播方式的重大飛躍。」它使用高度混淆的載入器來隱藏實際的有效載荷，這意味著如果不執行程式碼並在記憶體中進行分析，就無法知道它的真實含義。即使基於字串的分析也無濟於事，因為混淆會擾亂原本可以揭示有效載荷身份的線索。

已發現攻擊鏈利用有效帳戶和網路釣魚作為初始存取媒介來釋放 NETXLOADER，然後在主機上部署 SmokeLoader。 SmokeLoader 惡意軟體繼續執行一系列步驟來實現虛擬化和沙盒逃避，同時終止正在運行的進程的硬編碼清單。

在最後階段，SmokeLoader 與命令和控制 (C2) 伺服器建立聯繫以獲取 NETXLOADER，後者使用稱為反射 DLL 載入的技術啟動 Agenda 勒索軟體。

研究人員表示：“Agenda 勒索軟體組織不斷演變，不斷添加旨在造成破壞的新功能。” “其目標多種多樣，包括域網絡、安裝設備、存儲系統和 VCenter ESXi。”