El grupo de Ransomware-as-a-Service (RaaS) Qilin (también conocido como Agenda) se ha consolidado como una de las operaciones de ransomware más activas, atacando a más de 40 víctimas al mes en 2025. Un análisis reciente revela que este grupo no solo utiliza credenciales robadas y herramientas legítimas para eludir la detección, sino que ha elevado su sofisticación al combinar su payload de ransomware para Linux con una técnica de explotación de drivers vulnerables y abusando de herramientas de TI para comprometer la infraestructura de respaldo, especialmente Veeam.
Según datos recopilados por Cisco Talos, «el grupo de ransomware Qilin (activo desde julio de 2022) se ha convertido en una amenaza dominante en el panorama de la ciberseguridad». El análisis de su actividad revela que, «desde el inicio de 2025 (excluyendo enero), el grupo ha superado las 40 víctimas mensuales, alcanzando un máximo de 100 casos reportados en su sitio de filtración de datos en junio». Adicionalmente, se subraya su «alta actividad» con 84 víctimas reclamadas en «agosto y septiembre de 2025».
Los países más afectados por Qilin son EE. UU., Canadá, Reino Unido, Francia y Alemania. Los sectores prioritarios incluyen la manufactura (23%), servicios profesionales y científicos (18%) y comercio mayorista (10%).
Los afiliados de Qilin suelen obtener el acceso inicial a través de credenciales administrativas filtradas compradas en la dark web, ingresando mediante interfaces VPN y estableciendo conexiones RDP al controlador de dominio.
Una vez dentro, el proceso de ataque se enfoca en el reconocimiento exhaustivo de la red y el robo de credenciales, empleando herramientas específicas como:
- Mimikatz, WebBrowserPassView.exe, y SharpDecryptPwd para extraer credenciales de diversas aplicaciones y funciones sensibles del sistema (incluyendo contraseñas guardadas de Chrome, RDP, SSH y Citrix).
- Scripts de Visual Basic para exfiltrar datos sensibles a un servidor SMTP externo.
- mspaint.exe, notepad.exe, e iexplore.exe (herramientas legítimas de Windows) para inspeccionar archivos, y Cyberduck (una herramienta legítima de transferencia de archivos) para enviar la información robada a un servidor remoto, camuflando la actividad maliciosa.
El robo de credenciales y la elevación de privilegios permiten a los atacantes instalar múltiples herramientas legítimas de Gestión y Monitoreo Remoto (RMM) como AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist y ScreenConnect.
Para evadir la detección y la respuesta de seguridad, la cadena de ataque de Qilin incorpora técnicas avanzadas, como el uso de comandos de PowerShell para deshabilitar AMSI (Interfaz de Malware de Microsoft) y ejecutar malware como Cobalt Strike y SystemBC para acceso persistente. Además, emplean herramientas como dark-kill y HRSword para terminar el software de seguridad.
El punto culminante de la sofisticación es la combinación de tres elementos clave, identificada por Trend Micro en un ataque reciente:
- BYOVD (Bring Your Own Vulnerable Driver): Los atacantes utilizan un driver legítimo, pero vulnerable, llamado «eskle.sys» para deshabilitar soluciones de seguridad, eliminar registros de eventos (logs) y borrar todas las copias de sombra (shadow copies) del sistema, inutilizando las funciones básicas de recuperación de Windows.
- Payload de Linux en Windows: El grupo usa un binario de ransomware diseñado para Linux, el cual es transferido al sistema Windows mediante WinSCP y ejecutado directamente en la plataforma Windows a través del servicio de gestión remota de Splashtop (SRManager.exe). Esto proporciona una capacidad cross-platform que impacta tanto a sistemas Windows como Linux con una sola herramienta.
- Ataque a la Infraestructura de Respaldo (Veeam): Un paso crítico es la extracción de credenciales dirigida a la infraestructura de respaldo Veeam para comprometer las capacidades de recuperación de desastres de la organización antes de desplegar el ransomware. También se ha detectado su adaptación para atacar la detección de Nutanix AHV, demostrando su enfoque en entornos de virtualización empresariales modernos.
El ataque finaliza con el despliegue del ransomware Qilin, que cifra los archivos y deja una nota de rescate en cada carpeta.
Además del uso de cuentas válidas robadas, se ha observado que Qilin emplea ataques de spear-phishing con páginas falsas de CAPTCHA estilo ClickFix alojadas en la infraestructura Cloudflare R2. Se estima que estas páginas están diseñadas para entregar infostealers que cosechan las credenciales necesarias para obtener el acceso inicial.
Recomendaciones
- Reforzar la Seguridad de Backups: Implementar la regla de copia de seguridad 3-2-1 con un énfasis en el almacenamiento air-gapped (aislado) o inmutable para las copias de Veeam y otros sistemas de respaldo, evitando que los atacantes las borren.
- Monitoreo de Drivers: Implementar soluciones que detecten el uso de drivers vulnerables conocidos (como eskle.sys) y el abuso de herramientas legítimas de RMM.
- MFA y Privilegio Mínimo: Exigir autenticación multifactor (MFA) rigurosa para VPN, RDP y cuentas de administrador. Limitar los permisos y el acceso a la red únicamente a lo que sea estrictamente necesario.
- Capacitación de Empleados: Fortalecer la capacitación contra spear-phishing y el engaño de páginas falsas de CAPTCHA, ya que siguen siendo un vector de acceso inicial crucial.
Más Información
Trend Micro: https://www.trendmicro.com/en_us/research/25/j/agenda-ransomware-deploys-linux-variant-on-windows-systems.html
Cisco Talos Blog: https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/
Picus Security: https://www.picussecurity.com/resource/blog/qilin-ransomware
La entrada Qilin Ransomware: El Ataque Híbrido que Desactiva Defensas con Linux y Drivers Vulnerables (BYOVD) se publicó primero en Una Al Día.
