Cisco Talos analizó un mecanismo malicioso basado en msimg32.dll utilizado en ataques del ransomware Qilin y capaz de desactivar hasta 300 soluciones Endpoint Detection and Response (EDR). La técnica forma parte de una cadena de infección multietapa diseñada para neutralizar las defensas antes de que el ataque avance.
El primer nivel es un loader PE que prepara el entorno y desencripta una carga útil secundaria totalmente en memoria, reduciendo la visibilidad para las herramientas locales. Después activa dos controladores auxiliares: rwdrv.sys, para acceder a la memoria física del sistema, y hlpdrv.sys, para finalizar procesos de seguridad.
El análisis también describe técnicas avanzadas de evasión, como el uso de excepciones estructuradas y vectorizadas (SEH/VEH) y la manipulación de objetos del núcleo. En conjunto, el caso refleja un grado de sofisticación orientado específicamente a degradar la capacidad de respuesta del EDR antes del despliegue final del ransomware.