گروه باج‌افزار Qilin (که به نام Agenda نیز شناخته می‌شود) در نوامبر ۲۰۲۴ از بدافزار SmokeLoader همراه با یک لودر جدید .NET به نام NETXLOADER استفاده کرده است. NETXLOADER یک لودر پیچیده و مبهم‌سازی شده است که توسط .NET Reactor 6 محافظت می‌شود و برای راه‌اندازی بارهای مخرب اضافی مانند باج‌افزار Agenda و SmokeLoader طراحی شده است. این ابزار از تکنیک‌های پیشرفته‌ای برای دور زدن مکانیزم‌های تشخیص سنتی و مقاومت در برابر تحلیل استفاده می‌کند.

فعالیت گروه Qilin از فوریه ۲۰۲۵ به طور قابل توجهی افزایش یافته و این گروه در آپریل به بالاترین گروه باج‌افزار تبدیل شده است. زنجیره حملات از طریق حساب‌های معتبر و فیشینگ آغاز می‌شود و NETXLOADER را مستقر می‌کند که سپس SmokeLoader را اجرا می‌کند. در نهایت، SmokeLoader با سرور کنترل ارتباط برقرار کرده و NETXLOADER را دریافت می‌کند تا باج‌افزار Agenda را با استفاده از تکنیک reflective DLL loading راه‌اندازی کند. این گروه عمدتاً بخش‌های بهداشت، فناوری، خدمات مالی و مخابرات در آمریکا، هلند، برزیل، هند و فیلیپین را هدف قرار داده است.