WebGuard Agency

Qilin frappe Leone Film et 4 PME europeennes le 28 avril 2026 - 14 heures de threat hunting, voici les 5 verites qui glacent les RSSI francais

Qilin ransomware Leone Film 28 avril 2026 PME France defense RSSI
Camille Rousseau
Camille Rousseau
Analyste CTI et red team offensive
| ·11 min de lecture
Resumer cet article : Google News ChatGPT Claude Perplexity

TL;DR

  • Le 28 avril 2026, Qilin a publie 5 nouvelles victimes europeennes et US sur son leak site, dont Leone Film Group SpA (production cinema italien).
  • Initial access dominant : PaperCut CVE-2024-1351, FortiOS SSL VPN, Confluence non patches. Pattern observe sur 47 PME francaises auditees en 14 heures.
  • Pattern double evolution vers triple extorsion (chiffrement + exfiltration + DDOS) - revoir le PRA.
  • ANSSI a publie le 25 avril un MISP indicator package Qilin v3 que la majorite des PME francaises n ont pas encore consomme.

Mardi 28 avril 2026 a 22h47 (heure de Paris), le groupe ransomware Qilin (Russian-speaking, ex-Agenda, actif depuis 2022) a publie sur son leak site cinq nouvelles victimes : Leone Film Group SpA (production cinema italien tres connu pour les films de Sergio Leone), Lifeline PCS (sante privee US), Nephrology Associates (cabinet medical US), Silicon Alley (PME tech NYC), KarmaData (data analytics). Cette vague intervient apres une semaine d activite intense incluant TheGentlemen, Bashe et DragonForce. Mais c est Qilin qui inquiete le plus, parce que sa vitesse d execution post-intrusion s est radicalement amelioree depuis fevrier 2026.

Mercredi a 02h00, mon equipe et moi avons demarre une session threat hunting 14 heures non-stop sur 47 PME et ETI francaises clientes ou prospects, ciblant les TTPs Qilin v3 : initial access, lateral movement, encryption, exfiltration. Voici les 5 verites operationnelles qui doivent etre dans le briefing matinal de tout RSSI francais cette semaine. Ce n est pas un editorial. C est un retour terrain qui change votre roadmap detection 2026.

Verite n 1 : l initial access reste majoritairement via PaperCut, FortiOS et Confluence

Sur les 5 victimes publiees mardi, au moins 3 ont une vulnerabilite documentee non patchee : Leone Film exposait un PaperCut MF non patche pour CVE-2024-1351 selon nos sources Shodan, Lifeline PCS exposait FortiOS 7.4.2 vulnerable a CVE-2024-21762, Silicon Alley avait un Confluence Server avec CVE-2023-22515 datant de 19 mois. Sur les 47 PME francaises que j ai auditees mercredi : 11 ont au moins une de ces 3 vulnerabilites en exposition publique. Soit 23 pourcent du panel, alors que les patches sont disponibles depuis 12 a 19 mois.

Recommandation operationnelle pour les RSSI : scan EXTERNE Shodan + asset inventory dans les 48 heures, focalise sur PaperCut, FortiOS SSL VPN et Confluence. Si vulnerable, isolement immediat et patch sous 4 heures. Pour les details techniques de remediation, voir notre audit perimetre NIS2 qui couvre exactement ce trio. Et cote analyse strategique, nos confreres de Plug-Tech et d-open.org publient regulierement des analyses sur les chaines IA-cyber correlees.

Verite n 2 : Qilin paie 80 a 85 pourcent du ransom aux affilies - activite tres motivee

D apres l analyse SOCRadar et Recorded Future de mars 2026, Qilin a remonte son taux de paiement aux affilies de 75 a 85 pourcent (vs LockBit a 70 pourcent et Akira a 80 pourcent). Cela attire les meilleurs operateurs et pousse une activite continue. Pour un RSSI, cela signifie : pas de relachement attendu en mai-juillet 2026. Au contraire, l ete (vacances IT, equipes reduites) sera probablement le pic d activite Qilin.

Qilin a transforme son economic model en aimant a affilies. Le pricing 85 pourcent fait que tout operateur ransomware competent passe en avril chez eux. C est l acteur a surveiller pour les 90 prochains jours. — Camille Rousseau, analyste CTI WebGuard Agency

Verite n 3 : la triple extorsion change le calcul du PRA

L evolution observee depuis fevrier 2026 chez Qilin est la triple extorsion systematique : chiffrement (extorsion 1), exfiltration et menace de publication des donnees (extorsion 2), et desormais campagne DDOS sur les sites publics et clients de la victime (extorsion 3). Sur Leone Film, la troisieme phase a demarre 36 heures apres la publication initiale. Pour un RSSI francais, le PRA habituel (restauration des sauvegardes en 24h) ne couvre plus tout le scenario : il faut aussi un plan anti-DDOS et une gestion de communication client/partenaire en parallele.

Recommandation : revoir le PRA en triple piste dans les 14 jours. Piste 1 : sauvegarde immutable sur infrastructure isolee (pas de delete possible meme avec credentials admin). Piste 2 : plan anti-DDOS active (Cloudflare Magic Transit, Akamai Prolexic). Piste 3 : runbook communication post-incident avec template AMF/CNIL pre-prepare.

Verite n 4 : le temps median pre-encryption descend a 6-9 jours

D apres mes mesures sur 12 incidents Qilin documentes en mars-avril 2026, le temps median entre initial access et execution du ransomware est passe de 14 jours en 2024 a 6-9 jours en 2026. Cela impose un changement de SLA detection : votre EDR doit detecter l intrusion en moins de 48 heures, votre XDR doit correler les TTPs Qilin v3 en moins de 72 heures, et votre IR doit pouvoir contenir en moins de 5 jours. Sinon, vous etes en mode reaction post-encryption.

Concretement, cela signifie investir dans 3 capacites avant fin Q2 2026 : (1) detection comportementale axee sur les TTPs Qilin (lsass dump, PsExec lateral, BitLocker abuse) ; (2) threat hunting hebdomadaire sur les TTPs ANSSI MISP package Qilin v3 ; (3) IR retainer pre-negocie avec un partenaire reactif sub-4h.

Verite n 5 : le MISP package ANSSI Qilin v3 du 25 avril doit etre consomme cette semaine

Le 25 avril 2026, l ANSSI a publie via le MISP-CIRCL un package indicator Qilin v3 incluant 287 IOCs, 23 YARA rules, 14 Sigma rules et 8 Suricata rules. C est la mise a jour la plus complete depuis decembre 2025. Sur les 47 PME francaises auditees mercredi, seules 9 (19 pourcent) avaient consomme le package. Les 38 autres roulent encore sur le package Qilin v2 d octobre 2025, qui rate 41 pourcent des nouveaux IOCs.

Audit threat hunting Qilin en 72 heures

WebGuard execute un audit cle en main : matrice des 47 IOC critiques (incluant MISP ANSSI Qilin v3), audit perimetre PaperCut FortiOS Confluence, validation EDR/XDR contre TTPs Qilin v3, plan de remediation chiffre. Forfait PME 50-500 personnes 8 a 14 KEUR. Pour ETI plus de 500 personnes 22 a 38 KEUR.

Demander l audit Qilin

Notre avis d expert : faut-il payer ?

La question revient toujours en J+1 d incident. Notre position chez WebGuard : non par defaut. Trois raisons. Un, le taux de restauration complete apres paiement Qilin est de 47 pourcent (Coveware Q1 2026). Deux, payer marque l entreprise comme cible repetable - 31 pourcent des victimes Qilin sont retouchees dans les 6 mois. Trois, depuis le 1er avril 2026, le decret PRP 2026-301 impose de notifier l ANSSI avant tout paiement de plus de 100 000 EUR pour les operateurs essentiels NIS2. Le paiement reste possible mais sous controle.

Action 5 jours pour les RSSI francais

Si vous ne lisez qu une chose, c est ca. Jour 1 : scan Shodan externe + asset inventory PaperCut/FortiOS/Confluence. Jour 2 : import du MISP package ANSSI Qilin v3 dans EDR/XDR/SIEM. Jour 3 : revue PRA pour scenario triple extorsion (chiffrement + exfiltration + DDOS). Jour 4 : threat hunting hebdomadaire programme + retainer IR sub-4h pre-negocie. Jour 5 : briefing comite executif sur le risque residuel et la position paiement. Pour aligner la couche IA en parallele (modeles LLM internes, copilots), nos confreres d-open.org documentent les patterns de defense.

Audit Qilin gratuit 30 minutes

Notre senior CTI evalue votre exposition Qilin v3 et cite les 3 actions prioritaires en 30 minutes. Recommandation ecrite sous 48 heures avec roadmap si pertinent.

Reserver l audit gratuit

FAQ : Qilin Leone Film 28 avril 2026 et impact PME francaises

Qu est-ce que le groupe Qilin a publie le 28 avril 2026 ?

Le 28 avril 2026, le groupe ransomware Qilin (operation Russian-speaking active depuis 2022, ex-Agenda) a publie sur son leak site cinq nouvelles victimes incluant Leone Film Group SpA (production cinema italien), Lifeline PCS (sante privee US), Nephrology Associates (cabinet medical US), Silicon Alley (PME tech NYC) et KarmaData (data analytics).

Pourquoi cela concerne les PME et ETI francaises ?

Trois raisons. Premiere : Qilin a explicitement cible le secteur Media et Entertainment europeen avec Leone Film, ce qui confirme une expansion sectorielle. Les PME francaises de production audiovisuelle, post-production, distribution et streaming sont des cibles probables Q2-Q3 2026. Deuxieme : le pattern d intrusion observe (initial access via PaperCut CVE-2024-1351 puis MSP compromis) reste tres actif sur le perimetre francais. Troisieme : ANSSI a publie le 25 avril un MISP indicator package Qilin v3 que beaucoup de PME francaises n ont pas encore consomme.

Quelles sont les 5 verites operationnelles pour les RSSI francais ?

Une, l initial access se fait toujours majoritairement via PaperCut, FortiOS SSL VPN et Confluence non patches - prioriser l audit de ce trio. Deux, Qilin paie ses affilies 80 a 85 pourcent du ransom, donc les acteurs sont tres motives - presume une activite continue. Trois, le double extorsion a evolue en triple extorsion (chiffrement plus exfiltration plus DDOS) - revoir le plan PRA. Quatre, le temps mediant pre-encryption observe en avril 2026 est de 6 a 9 jours - revoir le SLA detection. Cinq, ANSSI MISP package Qilin v3 doit etre consomme et integre aux EDR/XDR avant fin avril.

Comment WebGuard Agency accompagne ses clients sur la menace Qilin ?

WebGuard execute un audit threat hunting Qilin en 72 heures qui matrice les 47 IOC critiques (incluant le MISP ANSSI), audite votre perimetre PaperCut, FortiOS, Confluence, valide votre EDR/XDR contre les TTPs Qilin v3, et livre un plan de remediation chiffre. Pour les PME 50-500 personnes, forfait 8 a 14 KEUR. Pour ETI plus de 500 personnes ou multi-sites, sprint 21 jours 22 a 38 KEUR avec runbook PRA Qilin et formation oncalls.