Qilin es una operación de ransomware como servicio (RaaS) originada en la comunidad de habla rusa, que se ha posicionado como una de las plataformas más prominentes tras la caída de LockBit, la estafa de salida de ALPHV/BlackCat y el desmantelamiento de RansomHub.

SANS ha publicado un extenso informe sobre la evolución de Qilin, relacionada con varios ataques de ransomware significativos, incluidos los incidentes que afectaron a Synnovis, The Big Issue, Yanfen e Inotiv.

Se prevé que en el corto plazo surjan más víctimas de Qilin, mientras que el aumento de su notoriedad atrae más atención de fuerzas del orden, las cuales han logrado desarticular varios grupos de RaaS en los últimos años.

Resumen del ransomware Qilin RaaS hasta mediados de 2025

Operando desde al menos mediados de 2022, el grupo Qilin toma su nombre de la criatura mitológica china. Los ciberdelincuentes detrás del ransomware hablan ruso y, anteriormente, se conocían como Agenda antes de adoptar el nombre Qilin.

El ransomware Qilin cifra dominios enteros y, posteriormente, exige un rescate a cambio de las claves de descifrado o para evitar la publicación de datos robados. Los afiliados son reclutados en foros de ciberdelincuencia para emplear la plataforma Qilin RaaS, que gestiona la generación de payloads, la publicación de datos robados y la negociación del rescate.

Qilin se promociona en el exclusivo foro ruso RAMP (Ransom Anon Market Place), donde el acceso puede costar hasta 500 dólares en BTC. El perfil «Haise» se unió a RAMP el 29 de mayo de 2022 y promocionó Qilin el 13 de febrero de 2023.

El 1 de mayo de 2024, Qilin introdujo de manera inusual un código QR en su sitio de filtración de datos en Tor, que redirigía a WikiLeaksV2, un sitio en la Clearnet donde publicaron una lista de sus víctimas y solicitaron donaciones en criptomonedas. En una pseudoentrevista, afirmaron tener motivaciones políticas.

La plataforma RansomwareLive es un recurso útil para investigar grupos de ransomware, que contiene conversaciones de negociación que proporcionan información sobre el funcionamiento del grupo. Durante una negociación que comenzó el 3 de febrero de 2025 y terminó el 26 de febrero de 2025, un negociador de Qilin ofreció diversos servicios para convencer a la víctima de pagar el rescate, incluyendo pruebas de eliminación de datos robados.

El negociador mencionó haber robado datos de pacientes, y el 26 de febrero, se registró un caso correspondiente en el sitio de filtración de Qilin.

Sistema de Afiliados de Qilin RaaS

En resumen, un afiliado de ransomware es un socio en una operación de RaaS. Estos ciberdelincuentes externos «alquilan» acceso al servicio, quedándose con una parte de los rescates y dejando un porcentaje menor a los operadores que proporcionan la infraestructura necesaria.

Investigadores de Group-IB informaron en marzo de 2023 que los afiliados de Qilin podían recibir hasta el 80% de un rescate de 3 millones de dólares o menos, incrementándose al 85% para montos mayores. En julio de 2023, KELA notó que los rescates se abonaban primero en las carteras de criptomonedas de los afiliados antes de transferir una parte a los operadores de Qilin.

A finales de julio de 2025, el investigador Arda Büyükkaya (@WhichbufferArda) descubrió publicaciones en foros que criticaban el RaaS de Qilin. Un afiliado, «hastalamuerte», reportó la pérdida de 48.000 USD debido a una negociación de rescate que «desapareció misteriosamente». Otro usuario, «Nova», mostró credenciales que desacreditaban al grupo.

Afiliados destacados de Qilin RaaS

En junio de 2022, Microsoft identificó a DEV-0237 (conocido como FIN12) como afiliado del ransomware Agenda, precursor de Qilin. FIN12 también estuvo vinculado a otros ransomware como Nokoyawa y Ryuk.

El 30 de abril de 2023, Qilin filtró información sobre Siix Corporation, que también fue objeto de ALPHV/BlackCat el 17 de octubre. El 26 de octubre de 2023, SG World apareció en el sitio de filtraciones de Qilin después de ser mencionado previamente en la lista de víctimas de Conti.

En julio de 2024, Microsoft reportó que Octo Tempest (también conocido como SCATTERED SPIDER) se unió como afiliado de Qilin, empleando técnicas de ingeniería social y atacando servidores VMware ESXi.

En marzo de 2025, Microsoft identificó a Moonstone Sleet, un actor norcoreano, utilizando Qilin en un número limitado de organizaciones.

En abril de 2025, un afiliado conocido como «Devman» reveló su exigencia de 60.000 USD y proporcionó un enlace a un sitio de filtración de datos en Tor.

La Red Qilin

En marzo de 2025, surgió Arkana Security, un nuevo grupo que afirmaba haber robado más de dos millones de registros de un proveedor de servicios de internet. En su sitio de filtración en Tor, se notó el logotipo de la Red Qilin, sugiriendo conexiones entre ambos grupos.

Departamento Legal de Qilin

En junio de 2025, Haise, administrador de Qilin, informó en RAMP sobre una nueva función denominada «con un abogado» para brindar asistencia legal a los afiliados en negociaciones de extorsión, reflejando la evolución del ecosistema RaaS. El objetivo es presionar a las víctimas, resaltando los riesgos legales de las brechas de seguridad relacionadas con normativas como el GDPR y CCPA.

Falso cartel de Europol para los administradores de Qilin

En julio de 2025, se creó un canal de Telegram «@EuropolRewards» que se hacía pasar por Europol, ofreciendo recompensas por información sobre los administradores de Qilin. Europol confirmó que este canal era una estafa, y se especula que pudo haber sido creado por Qilin para investigar el conocimiento de los investigadores sobre ellos o por ciberdelincuentes rivales.

Ataque a la cadena de suministro de Qilin

A finales de enero de 2025, afiliados de Qilin lanzaron una campaña de phishing que simulaba alertas de autenticación de la herramienta ScreenConnect RMM. Los atacantes interceptaron credenciales y acceso a superadministradores, permitiéndoles implementar instancias de ScreenConnect y lanzar ataques de ransomware Qilin.

Perspectivas

Qilin RaaS es notable por su diversidad de afiliados, que incluyen desde actores estatales norcoreanos hasta miembros de SCATTERED SPIDER, manteniendo el sector sanitario como un objetivo clave. Qilin ha absorbido afiliados de grupos desmantelados como LockBit y ALPHV/BlackCat, y se están introduciendo tácticas innovadoras, lo que la convierte en una de las amenazas RaaS más significativas y adaptables hoy en día.

Buenas prácticas recomendadas

  • Mantener y probar copias de seguridad.
  • Asegurar la correcta configuración de sistemas DLP.
  • Desarrollar y practicar planes de respuesta ante incidentes mediante simulacros.
  • Preparar escenarios en los cuales los ciberdelincuentes resalten las implicaciones legales de brechas de seguridad.

Recursos adicionales

Con Información de blog.segu-info.com.ar