Qilin, una operación de ransomware como servicio (RaaS) originaria de la
comunidad clandestina de habla rusa, se ha consolidado como una de las
plataformas líderes tras el desmantelamiento de LockBit, la estafa de salida
de ALPHV/BlackCat y el cierre de RansomHub.
SANS publicó un completo un informe de la evolución de Qilin, vinculada a varios
ataques de ransomware de gran repercusión, como los sufridos por Synnovis, The
Big Issue, Yanfen e Inotiv.
Es de esperar que los defensores e investigadores vean más víctimas de Qilin a
corto plazo. Sin embargo, a medida que este grupo gana notoriedad, atrae la
atención de más organismos policiales, que en los últimos años han
desarticulado con éxito varios grupos de RaaS.
Resumen del ransomware Qilin RaaS hasta mediados de 2025
Activo desde al menos mediados de 2022, el grupo Qilin toma su nombre de la
criatura mitológica china. Sin embargo, los ciberdelincuentes detrás del
ransomware Qilin RaaS hablan ruso. Antes de la aparición de Qilin RaaS, los
atacantes utilizaban el nombre de ransomware Agenda, que posteriormente
cambiaron a Qilin.
El ransomware Qilin se utiliza para el cifrado de dominios enteros, y luego se
exige un rescate para obtener las claves de descifrado o para impedir la
publicación de los datos robados. Los afiliados de Qilin son reclutados en
foros de ciberdelincuencia para utilizar la plataforma Qilin RaaS, que
gestiona la generación del payload, la publicación de los datos robados y la
negociación del rescate.
Qilin se anuncia en el exclusivo foro de habla rusa RAMP (acrónimo de Ransom Anon Market Place), donde adquirir una cuenta puede costar hasta 500 dólares
en BTC. El perfil del foro «Haise» se unió a RAMP el 29 de
mayo de 2022 y
promocionó Qilin
el 13 de febrero de 2023.
El 1 de mayo de 2024, Qilin realizó una acción inusual al agregar un nuevo
código QR a su sitio de filtración de datos en Tor. Este código dirigía a un
sitio llamado
WikiLeaksV2, alojado en la Clearnet, donde publicaban una lista de sus víctimas y
solicitaban donaciones en criptomonedas. Además, en una pseudoentrevista,
afirmaron tener motivaciones políticas.
RansomwareLive
es una fuente útil para investigar grupos de ransomware. Una de las fuentes de
datos más valiosas son las conversaciones de negociación entre las bandas de
ransomware y sus víctimas. El sitio web contiene una conversación detallada
entre un negociador de Qilin y una víctima, lo que permite comprender cómo
opera el grupo.
Para persuadir a las víctimas de pagar el rescate, el negociador de Qilin
ofreció varios servicios, incluyendo una herramienta de descifrado, una lista
de archivos robados, pruebas de que los datos habían sido eliminados, una
explicación de cómo se infiltraron en la red de la víctima, recomendaciones de
seguridad y la promesa de no volver a atacarla. Qilin también permitió a las
víctimas descifrar hasta tres archivos como prueba de que tenían la capacidad
de hacerlo.
Esta conversación de negociación comenzó el 3 de febrero de 2025 y concluyó el
26 de febrero de 2025 sin que se pagara ningún rescate. Durante la
conversación, Qilin mencionó haber robado datos de pacientes, y el 26 de
febrero, una empresa médica en Canadá que coincidía con esta descripción
apareció en el
sitio web de filtración de datos de Qilin.
Sistema de Afiliados de Qilin RaaS
En resumen,
un afiliado de ransomware es esencialmente un socio en una operación de
RaaS.
Se trata de ciberdelincuentes externos (individuos o grupos) que «alquilan» o
son invitados a acceder al RaaS mediante un programa de afiliados. Los
afiliados se quedan con una parte de los pagos de rescate, mientras que los
operadores reciben un porcentaje menor a cambio de proporcionar las cargas
útiles del ransomware, la infraestructura Tor y el portal de negociación.
En marzo de 2023,
investigadores de Group-IB observaron
que los afiliados de Qilin que utilizaban el RaaS recibían hasta el 80% si el
rescate pagado era de 3 millones de dólares estadounidenses o menos. Para
rescates superiores a 3 millones de dólares estadounidenses, la parte
correspondiente a un afiliado podía ascender al 85%. En julio de 2023,
KELA detectó
que el operador de Qilin RaaS, Haise, declaró en RAMP que los pagos de rescate
se abonan primero en las carteras de criptomonedas de sus afiliados y solo
entonces se transfiere una parte a los operadores de Qilin RaaS.
Sin embargo, en julio de 2025, el investigador de seguridad Arda Büyükkaya (@WhichbufferArda) identificó varias publicaciones en foros que criticaban el servicio de
rescate como servicio (RaaS) de Qilin. Un afiliado, «hastalamuerte» (en
español), afirmó haber perdido 48.000 USD (en Bitcoin) después de que una
negociación de rescate «desapareciera misteriosamente» de un chat de Tox. En
el mismo hilo, otro usuario, «Nova», publicó
credenciales y una captura de pantalla del panel de afiliados de Qilin para
desacreditar al grupo. Al parecer, no todos los afiliados de Qilin están
satisfechos, e incluso algunos intentan sabotearlo.
Afiliados destacados de Qilin RaaS
En junio de 2022,
Microsoft informó que DEV-0237
(también conocido como FIN12) fue identificado como afiliado del ransomware
Agenda, precursor de Qilin. Según Microsoft, FIN12 también estaba afiliado a
los ransomware Nokoyawa, ALPHV/BlackCat, Hive, Conti y Ryuk.
El 30 de abril de 2023,
Qilin publicó
información sobre Siix Corporation en su sitio de filtración de datos de Tor.
El 17 de octubre de 2023, ALPHV/BlackCat también publicó información sobre
Siix Corporation en su sitio de Tor. El 26 de octubre de 2023, SG World
apareció en el sitio de filtraciones de datos de Qilin en la red Tor, tras
haber figurado previamente en el
sitio de filtraciones de datos de Conti
en la misma red el 17 de abril de 2021.
En julio de 2024,
Microsoft informó
que Octo Tempest (también conocido como
SCATTERED SPIDER) se había convertido en un afiliado de Qilin, conocido por utilizar técnicas
de ingeniería social, como el vishing a personal de soporte técnico para
restablecer contraseñas, y por atacar servidores VMware ESXi con ransomware.
En marzo de 2025,
Microsoft identificó
a Moonstone Sleet, un actor estatal norcoreano, que estaba desplegando el
ransomware Qilin en un número limitado de organizaciones.
En abril de 2025, un afiliado de Qilin se identificó como «Devman» al
incluir «Pwn3d By Qilin & Devman» en una de sus publicaciones de
víctimas. El afiliado también reveló la exigencia de rescate de 60.000 USD e
incluyó un enlace onion a «DEVMANS_BLOG», otro sitio de filtraciones de
datos en la red Tor.
La Red Qilin
En marzo de 2025, apareció un nuevo grupo de extorsión llamado Arkana
Security. Arkana lanzó un nuevo sitio web de filtración de datos y afirmó
haber robado más de dos millones de registros de clientes de WideOpenWest
(WOW!), un importante proveedor de servicios de internet estadounidense.
Posteriormente, en el sitio web de filtración de datos de Arkana en la red
Tor, la página «Acerca de» mostraba el logotipo de la Red Qilin, lo que
sugería una relación entre ambos grupos.
Departamento Legal de Qilin
En junio de 2025, Haise, administrador de Qilin, publicó en RAMP un anuncio
sobre la incorporación de una función de asistencia legal llamada «con un
abogado» al panel de RaaS. Este servicio pseudolegal se presentó como
asesoramiento legal para ayudar a los afiliados a gestionar las negociaciones
de extorsión y aumentar la presión sobre las víctimas, lo que refleja la
maduración del ecosistema RaaS.
Al realizar análisis legales para clasificar los datos robados, los extorsionadores buscaban resaltar los riesgos de incumplimiento y la exposición regulatoria bajo marcos como el GDPR, CCPA, y HIPAA así como las leyes aplicables en cada jurisdicción.
El objetivo de Qilin es presionar a las víctimas para que paguen,
convenciéndolas de que los litigios y el daño a su reputación serían más
costosos que el rescate.
Falso cartel de Europol para los administradores de Qilin
En julio de 2025, apareció un canal de Telegram llamado «@EuropolRewards», que
se hacía pasar por Europol. Ofrecía recompensas de hasta 50.000 dólares por
información que condujera al arresto de los administradores de Qilin, «Haise» y «XORacle». Europol confirmó posteriormente a SecurityWeek que este canal de
Telegram era una estafa y no tenía ninguna relación con la agencia policial.
Aún no se sabe quién estuvo detrás de esta campaña. Una teoría sugiere que la
propia Qilin la lanzó para averiguar qué información ya tenían los
investigadores sobre sus identidades y así mejorar su seguridad operativa
(OPSEC). Otra teoría apunta a que ciberdelincuentes rivales querían exponer a
los administradores de Qilin, posiblemente para entregar la información a las
autoridades con la esperanza de que fueran arrestados o sancionados.
Ataque a la cadena de suministro de Qilin
A finales de enero de 2025, afiliados de Qilin (identificados por Sophos como STAC4365) lanzaron una ingeniosa campaña de correo electrónico de phishing que
simulaba alertas de autenticación de la herramienta ScreenConnect RMM de un
proveedor de servicios gestionados.
Las víctimas que hicieron clic en el enlace fueron redirigidas a un sitio web
malicioso de phishing que interceptó tanto las credenciales de inicio de
sesión como las contraseñas de un solo uso (OTP) de la autenticación
multifactor (MFA), otorgando a los atacantes acceso de superadministrador al
entorno del proveedor.
Una vez dentro, los atacantes:
- Implementaron sus propias instancias de ScreenConnect en múltiples redes de
clientes. - Se utilizaron PsExec y WinRM para reconocimiento y movimiento lateral.
- Se explotó la vulnerabilidad CVE-2023-27532 en Veeam Cloud Backup.
- Se deshabilitaron las copias de seguridad, se extrajeron datos y se desplegó
el ransomware Qilin.
Perspectivas
Qilin RaaS es inusual e interesante por varias razones. Sus afiliados abarcan
desde actores de amenazas patrocinados por el Estado norcoreano hasta miembros
de SCATTERED SPIDER, así como Devman y Arkana. El sector sanitario sigue
siendo un objetivo clave, en consonancia con el enfoque previo de FIN12 en los
hospitales.
Qilin ha estado absorbiendo afiliados de grupos disueltos como LockBit y
ALPHV/BlackCat. Existen indicios de que su infraestructura no puede soportar
el volumen de ataques realizados por sus usuarios. Sus administradores también
están innovando mediante la expansión a través de la red Qilin e introduciendo
tácticas de intimidación legal a través de la función «llamar a un abogado».
Como resultado, Qilin representa una de las amenazas RaaS más peligrosas y
adaptables activas en la actualidad.
Buenas prácticas recomendadas
- Mantener y probar las copias de seguridad.
- Asegurar que los sistemas de prevención de pérdida de datos (DLP) estén
configurados correctamente. - Desarrollar y practicar planes de respuesta ante incidentes mediante
simulacros. - Preparar escenarios en los que los ciberdelincuentes intenten resaltar
las implicaciones legales de las brechas de seguridad.
Recursos adicionales