Grup de ransomware Qilin

Qilin (també conegut com Agenda, Gold Feather i Water Galura) ha evolucionat fins a convertir-se en una de les operacions de ransomware com a servei (RaaS) més prolífiques actives actualment. Des de principis del 2025, el grup ha estat registrant més de 40 víctimes al mes (el gener va ser l'única excepció), arribant a un màxim d'aproximadament 100 entrades de llocs de filtracions al juny i registrant 84 víctimes a l'agost i el setembre del 2025. Actiu des del juliol del 2022 aproximadament, el ritme i les tàctiques de Qilin el converteixen en un actor d'alt risc per a les empreses de tot el món.

Qui va ser atropellat - Geografia i indústries

L'anàlisi de la telemetria dels incidents mostra que les víctimes de Qilin es concentren a Amèrica del Nord i Europa Occidental, amb els Estats Units, Canadà, el Regne Unit, França i Alemanya entre els països més afectats. El grup afavoreix certes verticals: la indústria manufacturera representa aproximadament el 23% dels objectius observats, els serveis professionals i científics aproximadament el 18% i el comerç a l'engròs aproximadament el 10%.

Accés inicial i punt de suport anticipat

Els investigadors creuen que moltes intrusions d'afiliats de Qilin comencen amb credencials administratives filtrades obtingudes de repositoris de la dark web. Els adversaris utilitzen aquestes credencials per iniciar sessió a través d'una interfície VPN i després realitzen connexions RDP a controladors de domini i altres punts finals compromesos. A partir d'aquí, passen al mapatge de l'entorn i a un reconeixement més profund.

Recollida i eines de credencials

Les campanyes de Qilin fan un ús extensiu d'eines i tècniques de recopilació de credencials. Els operadors i afiliats executen Mimikatz juntament amb utilitats com ara WebBrowserPassView.exe, BypassCredGuard.exe i SharpDecryptPwd per extreure secrets dels navegadors, magatzems del sistema i altres aplicacions. Les credencials recopilades s'exfiltren a servidors SMTP externs mitjançant scripts de Visual Basic. L'ús de Mimikatz observat en la pràctica incloïa accions per:

• esborrar els registres d'esdeveniments de Windows i, en cas contrari, esborrar els rastres;
• habilita el privilegi SeDebug;
• extreure les contrasenyes desades de Chrome de les bases de dades SQLite;
• recuperar les credencials d'inicis de sessió anteriors; i
• configuració de harvest i credencials per a RDP, SSH i Citrix.

Viure de la terra i abusar d’eines legítimes

Els actors amenaçadors barregen programari maliciós evident amb utilitats de sistema legítimes i eines d'administració conegudes per integrar-se. Se'ls ha vist obrint fitxers amb mspaint.exe, notepad.exe i iexplore.exe per inspeccionar manualment el contingut a la recerca d'informació confidencial, i utilitzant el client Cyberduck autèntic per transferir fitxers escollits a servidors remots mentre amaguen intencions malicioses.

Com s’aprofiten les credencials robades

Un cop tenen les credencials a mà, els actors de Qilin escalen els privilegis i s'estenen lateralment. L'accés elevat s'ha utilitzat per instal·lar una varietat de productes de monitorització i gestió remota (RMM) i accés remot (AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist i ScreenConnect), tot i que els investigadors (Talos) no sempre van poder determinar si cada producte s'utilitzava principalment per al moviment lateral o per al control remot persistent.

Evasió, persistència i postexplotació

Per evadir la detecció, els atacants executen seqüències de PowerShell que desactiven AMSI, desactiven la validació de certificats TLS i activen el mode d'administració restringida. També implementen utilitats d'estil kill-switch com ara dark-kill i HRSword per finalitzar els productes de seguretat. Per a la persistència i el comandament i control encobert, utilitzen Cobalt Strike i SystemBC.

Implementació i neteja de ransomware

La fase final és el desplegament del ransomware Qilin: els fitxers es xifren, les notes de rescat es deixen caure en carpetes xifrades, els registres d'esdeveniments de Windows s'esborren i totes les còpies d'ombra creades pel Servei de còpies d'ombra de volum (VSS) s'eliminen per frustrar els esforços de recuperació.

Cadenes d'atac híbrides avançades (binari de Linux a Windows + BYOVD)
Alguns incidents sofisticats de Qilin han combinat diverses tècniques avançades. Els operadors han implementat un binari de ransomware compilat per Linux però l'han executat en amfitrions Windows, han emparellat aquesta càrrega útil amb una tècnica de "porta el teu propi controlador vulnerable" (BYOVD) per desactivar les defenses i han utilitzat eines de gestió de TI legítimes per moure's per l'entorn i executar càrregues útils. En aquests atacs, es va observar el controlador eskle.sys com el component de controlador vulnerable utilitzat per desactivar els controls de seguretat, tancar processos i evadir la detecció.

Segmentació de còpia de seguretat i robatori de credencials personalitzat

Qilin ha atacat específicament la infraestructura de còpies de seguretat de Veeam. Els atacants van utilitzar eines especialitzades d'extracció de credencials contra bases de dades de còpia de seguretat per recol·lectar credencials, comprometent sistemàticament les plataformes de recuperació de desastres de les organitzacions abans de llançar ransomware, augmentant significativament les apostes per a les víctimes afectades.

Mecanismes de lliurament de captcha falsos i phishing

Més enllà de l'abús de comptes vàlids, certes intrusions van començar amb spear-phishing o amb pàgines CAPTCHA falses d'estil ClickFix allotjades a Cloudflare R2. Aquestes pàgines semblen lliurar càrregues útils de robatori d'informació que recopilen credencials, que després es reutilitzen per obtenir accés inicial a la xarxa.

Les tècniques i infraestructures clau observades inclouen:

• Implementació d'una DLL de proxy SOCKS per habilitar l'accés remot i l'execució d'ordres.
• Ús abusiu de ScreenConnect per executar ordres de descobriment i eines d'escaneig de xarxa per localitzar objectius de moviment lateral.
• Dirigint-se als sistemes de còpia de seguretat de Veeam per extreure les credencials de còpia de seguretat de múltiples bases de dades.
• Ús del controlador eskle.sys en atacs BYOVD per neutralitzar el programari de seguretat i finalitzar els processos defensius.
• Implementació de clients SSH de PuTTY per moure's lateralment a amfitrions Linux.
• Executar instàncies de proxy SOCKS a través de diferents directoris per ofuscar el trànsit C2 a través de la porta del darrere COROXY.
• Utilitzant WinSCP per moure el binari del ransomware de Linux als sistemes Windows.
• Aprofitant SRManager.exe de Splashtop Remote per executar el binari de ransomware de Linux directament a les màquines Windows.

Impacte multiplataforma i orientació a la virtualització

El binari de Linux proporciona capacitat multiplataforma: una sola càrrega útil pot afectar tant els sistemes Linux com els Windows en un entorn. Més recentment, les mostres de Qilin s'han actualitzat per detectar entorns Nutanix AHV, cosa que demostra que el grup està expandint la seva orientació més enllà de les implementacions tradicionals de VMware a les infraestructures hiperconvergents modernes.

Resum

L'operació de Qilin combina el robatori de credencials, l'ús indegut d'eines d'administració legítimes, tècniques BYOVD (propietat del vostre dispositiu), atacs dirigits a sistemes de còpia de seguretat i ransomware multiplataforma per maximitzar l'impacte i evitar la detecció. Els defensors haurien de prioritzar la higiene de credencials, l'autenticació multifactor a les interfícies d'accés remot, la segmentació dels sistemes de còpia de seguretat, la supervisió rigorosa de l'ús anòmal d'eines de gestió remota legítimes i els controls per detectar l'activitat BYOVD basada en controladors. Aquestes mesures redueixen la probabilitat que les credencials recollides o un únic punt de compromís portin a un desplegament de ransomware a gran escala.