Qilin frappe à nouveau : Tiger Communications pris dans la tourmente d’une cyberattaque
Les protagonistes – Un titan et un prédateur numérique
Dans le monde discret mais stratégique de l’analyse des télécommunications, Tiger Communications plc s’est imposé comme un acteur de confiance. Fondée en 1979 à Ringwood, dans le Hampshire (Royaume-Uni), l’entreprise a débuté dans le développement matériel, concevant des équipements de numérisation pour les anciens commutateurs Strowger. Rapidement, elle s’est tournée vers les logiciels, créant des solutions de gestion d’appels et de facturation pour les institutions publiques, les universités et les grandes entreprises.
Son produit phare, Tiger Prism, est devenu une référence mondiale en matière d’analytique des communications unifiées (UC), de détection de fraude et de répartition des coûts. Grâce à cette plateforme, les organisations peuvent surveiller le trafic téléphonique, optimiser la collaboration et sécuriser leurs réseaux.
Mais en juillet 2025, cette forteresse technologique a été prise pour cible.
L’assaillant ? Qilin, un nom qui résonne dans les recoins les plus sombres du cyberespace.
Qilin est un syndicat cybercriminel russophone, opérant selon un modèle de Ransomware-as-a-Service (RaaS). Apparu en juillet 2022 sous le nom Agenda, le groupe s’est rapidement transformé en une entité redoutable, dotée de malwares écrits en Rust et Golang, capables de frapper à la fois les environnements Windows et Linux.
Leur modèle économique est aussi efficace que cynique : les affiliés reçoivent jusqu’à 85 % des paiements de rançon, ce qui encourage une propagation rapide et agressive.
Et leur activité est fulgurante.
Au cours des six derniers mois, Qilin a revendiqué plus de 80 attaques par ransomware, ciblant des hôpitaux, des entreprises technologiques, des administrations… et désormais, le secteur des télécommunications. Rien qu’en avril 2025, le groupe a enregistré 72 victimes confirmées, ce qui en fait le groupe de ransomware le plus actif au monde.
Leurs méthodes incluent :
l’exploitation de failles critiques dans les produits Fortinet,
des campagnes de double extorsion (chiffrement + menace de divulgation),
et des pressions psychologiques via de faux documents juridiques.
Tiger Communications est le dernier domino à tomber. Et le silence de sa direction pourrait bien annoncer une tempête de données à venir.
Le prix du silence
Le coût financier total de l’attaque par ransomware contre Tiger Communications reste inconnu. Au 18 juillet 2025, l’entreprise n’a publié aucune déclaration officielle concernant la brèche, ni confirmé si des négociations de rançon sont en cours.
Cependant, selon les analystes en cybersécurité, le coût moyen d’une attaque par ransomware en 2024 dépassait les 4,91 millions de dollars, en tenant compte des paiements de rançon, des temps d’arrêt opérationnels, des efforts de récupération des données, des frais juridiques et des dommages à la réputation.
Étant donné la taille de Tiger, sa clientèle internationale et la nature de ses services — notamment l’analyse des télécommunications et la détection de fraude — les experts estiment que les pertes potentielles pourraient varier entre 5 et 12 millions de dollars, en fonction de l’ampleur de l’exfiltration des données et de la perturbation des systèmes. Un rapport de Undercode News indique que Qilin exige généralement des paiements compris entre 500 000 dollars et plusieurs millions, et avertit que si Tiger ne répond pas avant le 25 juillet 2025, les fichiers volés pourraient être divulgués publiquement.
Qilin : Une entreprise criminelle florissante
Le groupe Qilin est devenu l’un des syndicats cybercriminels les plus lucratifs de l’année. D’après Cybersecurity News, Qilin a accumulé plus de 50 millions de dollars en paiements de rançon rien qu’en 2024. Un seul de leurs assauts — contre Synnovis — a généré une demande de 50 millions de dollars et entraîné la fuite de 900 000 dossiers patients.
Pour le premier semestre 2025, les analystes estiment que Qilin a déjà récolté entre 35 et 45 millions de dollars, sur la base de journaux de négociation divulgués et de leurs structures d’affiliation.
Le modèle d’affaires de Qilin est d’une redoutable efficacité :
Les affiliés reçoivent 80 % des paiements inférieurs à 3 millions de dollars, et 85 % au-delà de ce seuil.
Le groupe exploite un portail affilié personnalisé, avec des conseillers juridiques et des spécialistes des médias pour faire pression sur les victimes.
Leur infrastructure gère des volumes petabyte de données, des outils de spam automatisés, et une fonction « Call Lawyer » conçue pour intimider juridiquement les entreprises ciblées.
En résumé, Qilin ne se contente pas d’extorquer — ils dirigent un empire cybercriminel avec le vernis d’un conglomérat du Fortune 500.
Anatomie d’une attaque — et la défense qui aurait pu l’arrêter
Le groupe de ransomware Qilin n’a pas simplement infiltré Tiger Communications — il a orchestré une attaque multi-vectorielle avec une précision chirurgicale. Selon les analystes en cybersécurité, l’opération a suivi une chaîne d’attaque structurée, exploitant des vulnérabilités connues et déployant des charges malveillantes sophistiquées.
Les tactiques de Qilin
Accès initial
Exploitation de failles dans les VPN Fortinet SSL et de la vulnérabilité CVE-2023-27532 dans Veeam Backup & Replication.
Utilisation de courriels de phishing et de données d’identification volées pour contourner les systèmes d’authentification.
Exécution et élévation de privilèges
Déploiement de scripts malveillants via PowerShell et interpréteurs en ligne de commande, souvent déguisés en mises à jour système.
Technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les outils EDR.
Intégration de modules Mimikatz pour extraire les identifiants de domaine et obtenir des privilèges SYSTEM.
Mouvement latéral et impact
Propagation via PsExec, RDP et partages SMB, avec modification des clés de registre pour maximiser la portée.
Suppression des sauvegardes et désactivation du service Volume Shadow Copy (VSS).
Chiffrement des fichiers avec AES-256 CTR et ChaCha20, ajoutant des extensions comme
.qilinou.agenda.
Tiger Communications ne disposait pas d’une plateforme unifiée de réponse aux menaces — une faille critique dans sa posture de sécurité.
Comment Cy-Napea® aurait pu empêcher l’attaque
Développée par Aurora Consolidated Ltd., la solution Cy-Napea® est une plateforme de cybersécurité complète conçue pour contrer les menaces avancées comme Qilin. Voici comment elle aurait pu bloquer l’attaque :
1. Endpoint Detection and Response (EDR)
Détection en temps réel des processus malveillants.
Surveillance comportementale des scripts PowerShell et des commandes système.
2. Extended Detection and Response (XDR)
Corrélation des signaux de menace sur les endpoints, les réseaux et le cloud.
Identification des mouvements latéraux et des accès non autorisés.
3. Anti-ransomware et restauration
Blocage automatique des tentatives de chiffrement.
Sauvegardes immutables et restauration en un clic des systèmes compromis.
4. Gestion des correctifs et des vulnérabilités
Détection et correction des failles comme CVE-2023-27532 et CVE-2024-21762.
Mise à jour automatisée des VPN, pare-feu et outils d’accès distant.
5. Formation à la cybersécurité
Simulations de phishing et sensibilisation aux techniques d’ingénierie sociale.
Réduction du risque d’erreurs humaines et de compromissions internes.
Cy-Napea® n’est pas qu’un outil — c’est une forteresse numérique conçue pour la résilience.
Divulgation financière
Pertes estimées pour Tiger Communications : entre 5 et 12 millions de dollars, selon les standards du secteur et l’ampleur de la compromission.
Revenus estimés pour Qilin : entre 35 et 45 millions de dollars au premier semestre 2025, selon des journaux de négociation divulgués et des modèles de rémunération d’affiliés.
Tiger Communications n’a pas encore confirmé publiquement les pertes financières ni la tenue de négociations avec les attaquants.
Sources vérifiées
