Die von Talos untersuchte „msimg32.dll" arbeitet in mehreren Stufen. „Die erste Stufe besteht aus einem PE-Loader, der die Ausführungsumgebung für die EDR-Killer-Komponente vorbereitet", erklären die Talos-Forscher Takahiro Takeda und Holger Unterbrink. Diese zweite Nutzlast sei in verschlüsselter Form in den Loader eingebettet.
Der DLL-Loader bringt mehrere Verschleierungstechniken mit: Er neutralisiert Hooks im User-Mode, unterdrückt die Protokollierung über Event Tracing for Windows (ETW) und verschleiert Kontrollfluss und API-Aufrufmuster. Auf diese Weise lässt sich die eigentliche EDR-Killer-Nutzlast vollständig im Arbeitsspeicher entschlüsseln, laden und ausführen, ohne aufzufallen.
Nach dem Start nutzt die Schadsoftware zwei Treiber. Beide Treiber kamen bereits bei BYOVD-Angriffen im Zusammenhang mit den Ransomware-Operationen Akira und Makop zum Einsatz. „Vor dem Laden des zweiten Treibers hebt die EDR-Killer-Komponente die vom EDR eingerichteten Überwachungs-Callbacks auf, sodass die Prozessbeendigung ungestört ablaufen kann", so Talos. Das zeige, mit welch ausgefeilten Tricks die Schadsoftware moderne EDR-Schutzfunktionen umgehe oder vollständig abschalte.
Laut Talos verschafft sich Qilin den ersten Zugang vorrangig über gestohlene Zugangsdaten. Nach dem Einbruch lege die Gruppe großen Wert auf die Aktivitäten nach der Kompromittierung, um ihre Kontrolle methodisch auszuweiten und die Wirkung zu maximieren. Im Durchschnitt sei die Ransomware rund sechs Tage nach der ersten Kompromittierung ausgeführt worden — ein Hinweis darauf, wie wichtig es ist, schädliche Aktivitäten möglichst früh zu erkennen.
Die Gruppe Warlock (auch als Water Manaul bekannt) nutzt unterdessen weiterhin ungepatchte Microsoft-SharePoint-Server aus und modernisiert ihr Werkzeugarsenal für Persistenz, laterale Bewegung und das Umgehen von Abwehrmaßnahmen. Dazu zählt der Einsatz von TightVNC zur dauerhaften Kontrolle sowie eines legitimen, aber verwundbaren NSec-Treibers („NSecKrnl.sys") in einem BYOVD-Angriff, um Sicherheitsprodukte auf Kernel-Ebene zu beenden. Dieser Treiber ersetzt den in früheren Kampagnen genutzten „googleApiUtil64.sys". Den Warlock-Angriff beobachtete Trend Micro im Januar 2026.
Zur Abwehr von BYOVD-Bedrohungen empfehlen die Forscher, nur signierte Treiber explizit vertrauenswürdiger Herausgeber zuzulassen, Treiberinstallationen zu überwachen und Sicherheitssoftware konsequent zu patchen — insbesondere Produkte mit treiberbasierten Komponenten. „Warlocks Rückgriff auf verwundbare Treiber zum Abschalten von Sicherheitskontrollen erfordert eine mehrschichtige Verteidigung mit Fokus auf Kernel-Integrität", so Trend Micro. Organisationen müssten von einfachem Endpunktschutz auf eine strikte Treiber-Governance und die Echtzeitüberwachung von Vorgängen auf Kernel-Ebene umstellen.
