El ransomware Qilin está creciendo, pero ¿cuánto tiempo durará?

Introducción al ransomware Qilin

Qilin es una operación de ransomware como servicio (RaaS) que se cree que está basada en Rusia u otros estados exsoviéticos. Tiene afiliados en todo el mundo y se ha convertido en una amenaza global significativa.

Un "Qilin" es una criatura mítica profundamente arraigada en las culturas china, coreana, japonesa y vietnamita, asociada más a menudo con la paz, la prosperidad, la justicia y la protección. Esta es una excelente elección de marca para un grupo de amenazas porque la imagen es una criatura parecida a un dragón genial, y los afiliados de ransomware pueden considerarse la encarnación de cualquiera de esas características. Si eres un criminal de ransomware, realmente no hay inconveniente en decir que actúas en nombre de la paz y la justicia, o que eres un poderoso castigador.

Esta marca no cambia el hecho de que los operadores y afiliados de Qilin solo quieren tu dinero. Han afirmado lo contrario en al menos un ataque, pero volveremos a eso más tarde.

La historia de origen de Qilin

Los investigadores observaron la operación Qilin ya en julio de 2022, cuando un actor de amenazas con el nombre de usuario 'Qilin' anunció el ransomware ‘Agenda’ en los foros de hacking RAMP y XSS. El actor de amenazas Qilin publicó varias supuestas víctimas en el sitio de filtración de datos del ransomware Agenda hasta septiembre de 2022, cuando la operación Agenda fue renombrada como Qilin.

Este cambio de nombre coincidió con el lanzamiento de una nueva variante del ransomware basada en Rust. La nueva versión ofrecía mejoras técnicas en eficiencia, sigilo y evasión de detección sobre el binario original de Golang. Para febrero de 2023, Qilin estaba completamente operativo como una operación RaaS que ofrecía binarios de ransomware multiplataforma y admitía tanto el cifrado como la exfiltración de datos.

Hoy en día, Qilin es mejor conocido por ataques agresivos, altos rescates y rápido crecimiento.

Al igual que muchos otros grupos, la ubicación precisa del grupo central de operadores de Qilin no está confirmada. La evidencia apunta a una base en Rusia o en uno de los países de la Comunidad de Estados Independientes (CEI) . Qilin parece estar operando entre las redes de ciberdelincuentes de Europa del Este.

• Interruptor de idioma: El ransomware Qilin a menudo incluye código que impide la ejecución en sistemas con idiomas rusos u otros idiomas de Europa del Este. Esto está destinado a evitar que el ransomware se ejecute en sus regiones de origen.
• Horas de operación: El análisis de los tiempos de ataque a veces se alinea con el horario laboral de Europa del Este.
• Reclutamiento de Afiliados: Qilin y sus afiliados operan a menudo principalmente en foros que utilizan el idioma ruso o tienen una gran presencia rusa o postsoviética.

Debemos señalar que la designación “redes de cibercriminales de Europa del Este” no es un término de la industria de ciberseguridad. A menudo es utilizado por las fuerzas del orden y los investigadores para distinguir la actividad cibercriminal con orígenes o operaciones principales en la región de Europa del Este.

No hay evidencia de que Qilin esté oficialmente vinculado con operaciones de ningún estado-nación. Es más probable que Qilin disfrute de un estatus de “tolerado por el estado”, donde sea que se base. Y a pesar del branding y la breve actividad Moonstone Sleet, no hay evidencia que vincule a Qilin con China u otros estados asiáticos. Los operadores principales del grupo siguen siendo desconocidos o no revelados al público, aunque se cree que son operadores y desarrolladores de amenazas RaaS con experiencia en habla rusa.

Qilin y amigos

Qilin es conocido principalmente como una rebrand de Agenda, y no hay evidencia de otro rebrand o derivado en el árbol genealógico de Qilin. Existen algunas similitudes de código entre Qilin y Black Basta, Black Matter y Revil, pero no son suficientes para establecer un vínculo entre ellos. Estas similitudes se han atribuido a actores de amenazas que comparten recursos de desarrollo, se trasladan de un grupo a otro o aprenden de los ataques exitosos de otros.

Aunque no se han establecido vínculos directos con otros grupos, Qilin ha aprovechado la interrupción de operaciones como RansomHub y LockBit. La actividad de Qilin aumentó cuando RansomHub fue supuestamente tomado por el Cartel de Ransomware DragonForce. Los afiliados se fueron a Qilin, y Qilin se convirtió en la amenaza de ransomware más activa en junio de 2025. Los afiliados de LockBit se dispersaron tras la interrupción de Operación Cronos, dejando a LockBit RaaS operativo pero muy reducido para continuar sin ellos. Qilin también pudo reclutar afiliados experimentados de este grupo.

Las migraciones de afiliados como esta no son nuevas ni exclusivas de Qilin. Qilin simplemente hizo un buen trabajo ejecutando una buena estrategia de reclutamiento. Los operadores anunciaron activamente en foros como RAMP y XSS, aprovechando sus ventajas técnicas, ataques personalizables y generosos pagos a los afiliados. El grupo recientemente fue noticia cuando anunciaron una nueva función de “Llamar al abogado” para afiliados.

Se ha añadido una nueva función a nuestro panel: asistencia legal.

Si necesita consulta legal con respecto a su objetivo, simplemente haga clic en el botón "Llamar al abogado" ubicado dentro de la interfaz del objetivo, y nuestro equipo legal se pondrá en contacto con usted de manera privada para brindarle apoyo legal calificado.

La mera aparición de un abogado en el chat puede ejercer presión indirecta sobre la empresa y aumentar el monto del rescate, ya que las empresas quieren evitar procedimientos legales.” (Traducción de publicación en el foro Qilin, a través de Security Affairs)

Qilin ha actualizado su programa y capacidades regularmente. A lo largo de 2025, ha añadido campañas de Spam, capacidades de ataque DDoS, propagación automática de red y negociación de rescate automatizada desde el panel de afiliados. El grupo también ofrece almacenamiento de datos, lo que permite a algunos afiliados evitar otros servicios de almacenamiento en la nube.

Qilin también proporciona "periodistas internos" para ayudar a los afiliados con " publicaciones de blog y también asistir con la presión durante las negociaciones."

Algunas de estas funciones están diseñadas para facilitar las cosas a los afiliados, otras están destinadas a aumentar la presión sobre las víctimas. Qilin no se ha detenido ahí. Continúa desarrollando variantes de cargas útiles avanzadas que hacen que los binarios sean más eficientes y difíciles de detectar. El reclutamiento agresivo y las mejoras continuas han hecho de Qilin una plataforma atractiva para los afiliados de ransomware. El resultado de estos esfuerzos es una red de afiliados de Qilin que operan desde países de todo el mundo.

Uno de esos afiliados globales es el notorio Scattered Spider, un grupo de amenazas que colaborará con cualquiera si el dinero es suficiente. Se ha vinculado al grupo con ALPHV/BlackCat, RansomHub, DragonForce, ShinyHunters, Karakurt, y muchos más. La experiencia en ingeniería social de Scattered Spider es uno de los muchos factores que impulsan el dominio de Qilin en el panorama del ransomware. Se cree que Scattered Spider está basado en los Estados Unidos y el Reino Unido.

¿Qué motiva a Qilin?

Esto es fácil, pero interesante de explorar. El dinero es lo que motiva a Qilin. Dinero y autopreservación.

En casi todos sus movimientos estratégicos, los motivos de Qulin parecen ser financieros. El grupo mejora continuamente sus habilidades para maximizar las ganancias de los ataques de ransomware y extorsión de datos. Todas las capacidades que anuncian con tanto orgullo en los foros están diseñadas para aumentar la cantidad de rescate recaudado. No hay evidencia de que Qilin esté alineado con alguna ideología, y no se encuentra ningún mensaje político en el sitio de filtración de datos de Qilin ni en otras comunicaciones. Qilin nunca ha afirmado estar interesado en nada más que en el dinero, excepto por un desafortunado ataque en 2024.

En febrero de 2024, los afiliados de Qilin accedieron a Synnovis, un proveedor de servicios de patología para hospitales del NHS en Londres. El ataque interrumpió operaciones, pruebas y transfusiones de sangre, y condujo a una reducción significativa en la capacidad de atención médica. Más tarde se confirmó que el ataque fue un factor contribuyente en al menos 170 casos de daño a pacientes, con dos clasificados como graves, involucrando daño a largo plazo o permanente. El ataque también contribuyó a la muerte de un paciente.

Los grupos de ransomware normalmente no quieren matar a personas, y si lo hacen, no quieren decir que fue por dinero. Eso nos lleva a la ‘de repente les importa’ parte de la historia.

"Lamentamos mucho por las personas que sufrieron a causa de ello. No nos consideramos culpables y le pedimos que no nos culpe en esta situación."

Los hackers dijeron que se debería culpar al gobierno del Reino Unido, ya que no estaban ayudando en la guerra no especificada.

…

«Nuestros ciudadanos están muriendo en un combate desigual por falta de medicamentos y sangre de donantes»

Cualquier ataque que resulte en daño físico al público es una amenaza legítima para la supervivencia de un grupo de ransomware. No hay seguro cibernético que pueda proteger a un hospital o sus pacientes del retraso en la atención médica que salva vidas. Obliga a una respuesta más agresiva por parte de las fuerzas del orden, y puede causar divisiones internas porque hace que la gente se enoje. ¿Recuerdas Black Basta? Esa fue una operación fuerte hasta que se desmoronó por la guerra Rusia-Ucrania y el ataque a Ascension Health. El grupo se desconectó en enero de 2025 y sus registros de chat internos se filtraron unas semanas después. Darkside también fue un grupo exitoso hasta que golpeó a Estados Unidos con el ataque al Colonial Pipeline, lo que obligó a una respuesta de todo el gobierno por parte de la Administración Biden. Darkside intentó un control de daños, pero finalmente cerró “debido a la presión de EE.UU..”

Los actores de amenazas cambiarán de marca o se unirán a otros grupos, pero los afiliados no quieren perder su potencial o los rescates recién pagados porque la operación de RaaS tuvo que escapar rápidamente.

Así que, volviendo a Qilin. En la entrevista con la BBC, el portavoz de Qilin se negó a identificar de qué lado de qué guerra estaba "apoyando" el grupo en el ataque de Synnovis. La gente llegará a sus propias conclusiones sobre si estas declaraciones fueron genuinas. Con suerte, la historia de éxito de Qilin pronto llegará a su fin debido a este ataque o divisiones internas sobre cuestiones geopolíticas.

cadena de ataque Qilin

La cadena de ataque Qilin sigue el proceso típico de múltiples etapas:

Acceso inicial: Los atacantes irrumpen en la red utilizando ataques de phishing (más comunes), credenciales robadas para aplicaciones de acceso remoto o vulnerabilidades conocidas en dispositivos o aplicaciones.

Escalada de privilegios, evasión de defensa y movimiento lateral: Una vez establecido el acceso, el binario se ejecutará y comenzará la escalada de privilegios. El ataque utiliza herramientas de robo de credenciales como Mimikatz para obtener control administrativo y moverse por la red para identificar objetivos valiosos. Se desactiva el software de seguridad y se eliminan las copias de seguridad para evitar la recuperación.

Descubrimiento de red y exfiltración de datos: Se utiliza PowerShell para ejecutar scripts de enumeración de Active Directory (AD) enumeración y facilitar el descubrimiento. Se preparan herramientas de transferencia de archivos y se empaquetan datos sensibles para transferir a servidores Qilin (u otros).

Implementación y Ejecución: La carga útil de cifrado se ejecuta en múltiples sistemas y se deja una nota de rescate exigiendo el pago en criptomoneda.

Acciones de Limpieza y Antiforense: Qilin inicia varias tareas para impedir la recuperación e investigación. Estas incluyen eliminar los registros de eventos y las copias de seguridad restantes, sobrescribir el espacio libre del disco con utilidades de cifrado, y reiniciar los sistemas para aplicar cambios en la configuración del sistema.  

Defensa contra el ransomware Qilin

No hay vulnerabilidades conocidas que puedas explotar directamente en el ransomware Qilin para defenderte una vez que ya está activo dentro de tu sistema. El enfoque para la defensa es prevención, detección y respuesta rápida. Aquí hay algunos pasos clave:

• Implemente controles de acceso sólidos como la autenticación multifactor (MFA) y use el principio de privilegio mínimo al otorgar permisos.
• Parchea y actualiza regularmente para defenderte contra la explotación de vulnerabilidades y desactiva cualquier servicio no utilizado. Barracuda Managed Vulnerability Security puede ayudarte a identificar y priorizar las vulnerabilidades que existen en tu red. (Ver demostración)
• Utilice una estrategia de copia de seguridad y recuperación consistente. Cree copias de seguridad regulares de todos los datos críticos y almacene múltiples copias en múltiples ubicaciones. Utilice soluciones de copia de seguridad a prueba de ransomware y pruebe su proceso de restauración de copias de seguridad regularmente. Asegúrese de proteger aplicaciones como Microsoft 365 y Microsoft Entra ID.
• Despliegue y mantenga protección de los endpoints y utilice estrategias de segmentación de la red para limitar el movimiento lateral si se produce una violación.

Barracuda puede ayudarles

Solo Barracuda proporciona protección multifacética que cubre todos los vectores de amenaza principales, protege tus datos y automatiza la respuesta ante incidentes. La plataforma impulsada por IA BarracudaONE protege tu correo electrónico, datos, aplicaciones y redes, y está fortalecida por un servicio XDR gestionado 24 horas al día, 7 días a la semana. Unifica tus defensas de seguridad y proporciona una detección y respuesta de amenazas profunda e inteligente. Visita nuestro sitio web para ver cómo puede ayudarte a proteger tu negocio.