Grupo de ransomware Qilin

Qilin (también conocido como Agenda, Gold Feather y Water Galura) se ha convertido en una de las operaciones de ransomware como servicio (RaaS) más prolíficas en la actualidad. Desde principios de 2025, el grupo ha registrado más de 40 víctimas al mes (enero fue la única excepción), alcanzando un máximo de aproximadamente 100 entradas en sitios de fugas en junio y registrando 84 víctimas en agosto y septiembre de 2025. Activo desde aproximadamente julio de 2022, el ritmo y las tácticas de Qilin lo convierten en un actor de alto riesgo para empresas de todo el mundo.

¿Quién fue el afectado? - Geografía e industrias

El análisis de la telemetría del incidente muestra que las víctimas de Qilin se concentran en Norteamérica y Europa Occidental, con Estados Unidos, Canadá, Reino Unido, Francia y Alemania entre los países más afectados. El grupo prioriza ciertos sectores: la manufactura representa alrededor del 23% de los objetivos observados, los servicios profesionales y científicos alrededor del 18%, y el comercio al por mayor aproximadamente el 10%.

Acceso inicial y presencia temprana

Los investigadores creen que muchas intrusiones de afiliados de Qilin comienzan con la filtración de credenciales administrativas obtenidas de repositorios de la dark web. Los atacantes utilizan estas credenciales para iniciar sesión mediante una interfaz VPN y luego establecen conexiones RDP a controladores de dominio y otros endpoints comprometidos. A partir de ahí, proceden al mapeo del entorno y a un reconocimiento más profundo.

Recolección y herramientas de credenciales

Las campañas de Qilin hacen un uso extensivo de herramientas y técnicas de recolección de credenciales. Los operadores y afiliados ejecutan Mimikatz junto con utilidades como WebBrowserPassView.exe, BypassCredGuard.exe y SharpDecryptPwd para extraer información confidencial de navegadores, almacenes del sistema y otras aplicaciones. Las credenciales recolectadas se exfiltran a servidores SMTP externos mediante scripts de Visual Basic. El uso de Mimikatz observado en la práctica incluyó acciones para:

• borrar los registros de eventos de Windows y borrar de otro modo los rastros;
• habilitar SeDebugPrivilege;
• Extraer contraseñas de Chrome guardadas de bases de datos SQLite;
• recuperar credenciales de inicios de sesión anteriores; y
• Configuración de cosecha y credenciales para RDP, SSH y Citrix.

Vivir de la tierra y abusar de las herramientas legítimas

Los actores de amenazas mezclan malware obvio con utilidades de sistema legítimas y herramientas de administración conocidas para integrarse. Se los ha visto abriendo archivos con mspaint.exe, notepad.exe e iexplore.exe para inspeccionar manualmente el contenido en busca de información confidencial y utilizando el cliente genuino Cyberduck para transferir archivos seleccionados a servidores remotos mientras ocultan intenciones maliciosas.

Cómo se aprovechan las credenciales robadas

Una vez obtenidas las credenciales, los actores de Qilin escalan privilegios y se propagan lateralmente. El acceso elevado se ha utilizado para instalar diversos productos de monitorización y gestión remota (RMM) y acceso remoto (AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist y ScreenConnect), aunque los investigadores (Talos) no siempre pudieron determinar si cada producto se utilizaba principalmente para el movimiento lateral o para el control remoto persistente.

Evasión, persistencia y postexplotación

Para evitar ser detectados, los atacantes ejecutan secuencias de PowerShell que deshabilitan AMSI, desactivan la validación de certificados TLS y habilitan el modo de administrador restringido. También implementan utilidades de tipo interruptor de seguridad, como dark-kill y HRSword, para finalizar los productos de seguridad. Para la persistencia y el comando y control encubierto, utilizan Cobalt Strike y SystemBC.

Implementación y limpieza de ransomware

La etapa final es la implementación del ransomware Qilin: se cifran los archivos, se colocan notas de rescate en carpetas cifradas, se borran los registros de eventos de Windows y se eliminan todas las copias de seguridad creadas por el Servicio de instantáneas de volumen (VSS) para frustrar los esfuerzos de recuperación.

Cadenas de ataque híbridas avanzadas (binario de Linux en Windows + BYOVD)
Algunos incidentes sofisticados de Qilin han combinado varias técnicas avanzadas. Los operadores han implementado un binario de ransomware compilado en Linux, pero lo han ejecutado en hosts Windows, combinando esa carga útil con una técnica de "traiga su propio controlador vulnerable" (BYOVD) para desactivar las defensas y utilizando herramientas legítimas de gestión de TI para moverse por el entorno y ejecutar las cargas útiles. En estos ataques, se observó que el controlador eskle.sys era el componente vulnerable utilizado para desactivar los controles de seguridad, finalizar procesos y evadir la detección.

Robo de credenciales personalizado y segmentación de copias de seguridad

Qilin ha atacado específicamente la infraestructura de backup de Veeam. Los atacantes utilizaron herramientas especializadas de extracción de credenciales contra bases de datos de backup para recopilarlas, comprometiendo sistemáticamente las plataformas de recuperación ante desastres de las organizaciones antes de lanzar ransomware, lo que aumenta significativamente el riesgo para las víctimas afectadas.

Mecanismos de phishing y entrega de CAPTCHA falsos

Más allá del abuso legítimo de cuentas, ciertas intrusiones comenzaron con phishing selectivo o con páginas CAPTCHA falsas, al estilo de ClickFix, alojadas en Cloudflare R2. Estas páginas parecen distribuir cargas útiles de robo de información que recopilan credenciales, las cuales se reutilizan para obtener acceso inicial a la red.

Las técnicas e infraestructuras clave observadas incluyen:

• Implementar una DLL de proxy SOCKS para habilitar el acceso remoto y la ejecución de comandos.
• Abusar de ScreenConnect para ejecutar comandos de descubrimiento y herramientas de escaneo de red para localizar objetivos de movimiento lateral.
• Dirigido a los sistemas de respaldo de Veeam para extraer credenciales de respaldo de múltiples bases de datos.
• Uso del controlador eskle.sys en ataques BYOVD para neutralizar el software de seguridad y finalizar los procesos defensivos.
• Implementación de clientes SSH PuTTY para moverse lateralmente hacia hosts Linux.
• Ejecutar instancias de proxy SOCKS en diferentes directorios para ofuscar el tráfico C2 a través de la puerta trasera COROXY.
• Usando WinSCP para mover el binario del ransomware Linux a sistemas Windows.
• Aprovechar SRManager.exe de Splashtop Remote para ejecutar el binario del ransomware Linux directamente en máquinas Windows.

Impacto multiplataforma y orientación a la virtualización

El binario de Linux ofrece compatibilidad multiplataforma: una sola carga útil puede afectar tanto a sistemas Linux como Windows en un entorno. Recientemente, se actualizaron las muestras de Qilin para detectar entornos Nutanix AHV, lo que demuestra que el grupo está expandiendo su enfoque más allá de las implementaciones tradicionales de VMware hacia infraestructuras hiperconvergentes modernas.

Resumen

La operación de Qilin combina el robo de credenciales, el uso indebido de herramientas de administración legítimas, técnicas de BYOVD, ataques dirigidos a sistemas de respaldo y ransomware multiplataforma para maximizar el impacto y evitar la detección. Los defensores deben priorizar la higiene de credenciales, la autenticación multifactor en interfaces de acceso remoto, la segmentación de los sistemas de respaldo, la monitorización rigurosa para detectar el uso anómalo de herramientas legítimas de administración remota y los controles para detectar la actividad de BYOVD basada en controladores. Estas medidas reducen la probabilidad de que la recopilación de credenciales o un único punto de vulnerabilidad provoquen la implementación a gran escala de ransomware.