De Russischtalige cybermisdaadgroep Qilin heeft de verantwoordelijkheid opgeëist voor een ransomware-inbreuk die gericht was op Tulsa International Airport in Oklahoma, volgens rapporten van ransomware-trackingservices. Het vermeende incident werd voor het eerst op de leksite van de groep vermeld op 30 januari 2026, wat een van de eerste gemelde aanvallen op een grote Amerikaanse luchthaven dit jaar markeert.
Ransomware.live, een openbaar platform voor ransomware-inlichtingen, registreerde dat het officiële domein en de systemen van de luchthaven van Tulsa mogelijk zijn gecompromitteerd door de Qilin-bende, die sinds minstens 2022 actief is in wereldwijde ransomware-operaties. Het rapport bevatte geen details over de omvang van de gegevens die werden benaderd of versleuteld, en functionarissen van Tulsa International Airport hadden de inbreuk of de operationele impact op het moment van de rapportage niet publiekelijk bevestigd.
Qilin is een ransomware-as-a-service operatie waarvan beveiligingsonderzoekers zeggen dat die in verband is gebracht met aanvallen op een breed scala aan organisaties en infrastructuur wereldwijd, waaronder bedrijven, zorgverleners en overheidsinstanties. De software van de groep, oorspronkelijk aangeduid als “Agenda” in 2022 en later omgedoopt tot Qilin, is gebruikt om systemen te versleutelen en gestolen data te publiceren om slachtoffers onder druk te zetten tot losgeldonderhandelingen.
Beschikbare online gegevens van de incidentlijst tonen aan dat de inbreuk rond 30 januari werd ontdekt en door externe dreigingsmonitoringdiensten aan Qilin werd toegeschreven. Op dit moment is er geen onafhankelijke verificatie geweest door wetshandhavings- of luchthavenautoriteiten, en waren er geen openbare verklaringen van Tulsa International Airport beschikbaar op het moment dat deze samenvatting werd opgesteld. De vermelding specificeert niet welke soorten bestanden of systemen zijn getroffen.
Cybersecurity-analisten hebben de toegenomen activiteit van Qilin in de afgelopen jaren gedocumenteerd en wijzen op het veelvuldige gebruik van een ransomware-as-a-service-model waarmee affiliates malware in verschillende sectoren kunnen inzetten. De groep is betrokken geweest bij meerdere spraakmakende incidenten, waaronder datalekken die kritieke infrastructuur en commerciële organisaties in 2025 beïnvloeden.