Qilin, una operación de ransomware como servicio (RaaS) originaria de la comunidad clandestina de habla rusa, se ha consolidado como una de las plataformas líderes tras el desmantelamiento de LockBit, la estafa de salida de ALPHV/BlackCat y el cierre de RansomHub.
SANS publicó un completo un informe de la evolución de Qilin, vinculada a varios ataques de ransomware de gran repercusión, como los sufridos por Synnovis, The Big Issue, Yanfen e Inotiv.
Es de esperar que los defensores e investigadores vean más víctimas de Qilin a corto plazo. Sin embargo, a medida que este grupo gana notoriedad, atrae la atención de más organismos policiales, que en los últimos años han desarticulado con éxito varios grupos de RaaS.
Resumen del ransomware Qilin RaaS hasta mediados de 2025
Activo desde al menos mediados de 2022, el grupo Qilin toma su nombre de la criatura mitológica china. Sin embargo, los ciberdelincuentes detrás del ransomware Qilin RaaS hablan ruso. Antes de la aparición de Qilin RaaS, los atacantes utilizaban el nombre de ransomware Agenda, que posteriormente cambiaron a Qilin.
El ransomware Qilin se utiliza para el cifrado de dominios enteros, y luego se exige un rescate para obtener las claves de descifrado o para impedir la publicación de los datos robados. Los afiliados de Qilin son reclutados en foros de ciberdelincuencia para utilizar la plataforma Qilin RaaS, que gestiona la generación del payload, la publicación de los datos robados y la negociación del rescate.
Qilin se anuncia en el exclusivo foro de habla rusa RAMP (acrónimo de Ransom Anon Market Place), donde adquirir una cuenta puede costar hasta 500 dólares en BTC. El perfil del foro «Haise» se unió a RAMP el 29 de mayo de 2022 y promocionó Qilin el 13 de febrero de 2023.
El 1 de mayo de 2024, Qilin realizó una acción inusual al agregar un nuevo código QR a su sitio de filtración de datos en Tor. Este código dirigía a un sitio llamado WikiLeaksV2, alojado en la Clearnet, donde publicaban una lista de sus víctimas y solicitaban donaciones en criptomonedas. Además, en una pseudoentrevista, afirmaron tener motivaciones políticas.
RansomwareLive es una fuente útil para investigar grupos de ransomware. Una de las fuentes de datos más valiosas son las conversaciones de negociación entre las bandas de ransomware y sus víctimas. El sitio web contiene una conversación detallada entre un negociador de Qilin y una víctima, lo que permite comprender cómo opera el grupo.
Para persuadir a las víctimas de pagar el rescate, el negociador de Qilin ofreció varios servicios, incluyendo una herramienta de descifrado, una lista de archivos robados, pruebas de que los datos habían sido eliminados, una explicación de cómo se infiltraron en la red de la víctima, recomendaciones de seguridad y la promesa de no volver a atacarla. Qilin también permitió a las víctimas descifrar hasta tres archivos como prueba de que tenían la capacidad de hacerlo.
Esta conversación de negociación comenzó el 3 de febrero de 2025 y concluyó el 26 de febrero de 2025 sin que se pagara ningún rescate. Durante la conversación, Qilin mencionó haber robado datos de pacientes, y el 26 de febrero, una empresa médica en Canadá que coincidía con esta descripción apareció en el sitio web de filtración de datos de Qilin.
Sistema de Afiliados de Qilin RaaS
En resumen, un afiliado de ransomware es esencialmente un socio en una operación de RaaS. Se trata de ciberdelincuentes externos (individuos o grupos) que "alquilan" o son invitados a acceder al RaaS mediante un programa de afiliados. Los afiliados se quedan con una parte de los pagos de rescate, mientras que los operadores reciben un porcentaje menor a cambio de proporcionar las cargas útiles del ransomware, la infraestructura Tor y el portal de negociación.
En marzo de 2023, investigadores de Group-IB observaron que los afiliados de Qilin que utilizaban el RaaS recibían hasta el 80% si el rescate pagado era de 3 millones de dólares estadounidenses o menos. Para rescates superiores a 3 millones de dólares estadounidenses, la parte correspondiente a un afiliado podía ascender al 85%. En julio de 2023, KELA detectó que el operador de Qilin RaaS, Haise, declaró en RAMP que los pagos de rescate se abonan primero en las carteras de criptomonedas de sus afiliados y solo entonces se transfiere una parte a los operadores de Qilin RaaS.
Sin embargo, en julio de 2025, el investigador de seguridad Arda Büyükkaya (@WhichbufferArda) identificó varias publicaciones en foros que criticaban el servicio de rescate como servicio (RaaS) de Qilin. Un afiliado, «hastalamuerte» (en español), afirmó haber perdido 48.000 USD (en Bitcoin) después de que una negociación de rescate "desapareciera misteriosamente" de un chat de Tox. En el mismo hilo, otro usuario, «Nova», publicó credenciales y una captura de pantalla del panel de afiliados de Qilin para desacreditar al grupo. Al parecer, no todos los afiliados de Qilin están satisfechos, e incluso algunos intentan sabotearlo.
Afiliados destacados de Qilin RaaS
En junio de 2022, Microsoft informó que DEV-0237 (también conocido como FIN12) fue identificado como afiliado del ransomware Agenda, precursor de Qilin. Según Microsoft, FIN12 también estaba afiliado a los ransomware Nokoyawa, ALPHV/BlackCat, Hive, Conti y Ryuk.
El 30 de abril de 2023, Qilin publicó información sobre Siix Corporation en su sitio de filtración de datos de Tor. El 17 de octubre de 2023, ALPHV/BlackCat también publicó información sobre Siix Corporation en su sitio de Tor. El 26 de octubre de 2023, SG World apareció en el sitio de filtraciones de datos de Qilin en la red Tor, tras haber figurado previamente en el sitio de filtraciones de datos de Conti en la misma red el 17 de abril de 2021.
En julio de 2024, Microsoft informó que Octo Tempest (también conocido como SCATTERED SPIDER) se había convertido en un afiliado de Qilin, conocido por utilizar técnicas de ingeniería social, como el vishing a personal de soporte técnico para restablecer contraseñas, y por atacar servidores VMware ESXi con ransomware.
En marzo de 2025, Microsoft identificó a Moonstone Sleet, un actor estatal norcoreano, que estaba desplegando el ransomware Qilin en un número limitado de organizaciones.
En abril de 2025, un afiliado de Qilin se identificó como «Devman» al incluir «Pwn3d By Qilin & Devman» en una de sus publicaciones de víctimas. El afiliado también reveló la exigencia de rescate de 60.000 USD e incluyó un enlace onion a «DEVMANS_BLOG», otro sitio de filtraciones de datos en la red Tor.
La Red Qilin
En marzo de 2025, apareció un nuevo grupo de extorsión llamado Arkana Security. Arkana lanzó un nuevo sitio web de filtración de datos y afirmó haber robado más de dos millones de registros de clientes de WideOpenWest (WOW!), un importante proveedor de servicios de internet estadounidense. Posteriormente, en el sitio web de filtración de datos de Arkana en la red Tor, la página "Acerca de" mostraba el logotipo de la Red Qilin, lo que sugería una relación entre ambos grupos.
Departamento Legal de Qilin
En junio de 2025, Haise, administrador de Qilin, publicó en RAMP un anuncio sobre la incorporación de una función de asistencia legal llamada "con un abogado" al panel de RaaS. Este servicio pseudolegal se presentó como asesoramiento legal para ayudar a los afiliados a gestionar las negociaciones de extorsión y aumentar la presión sobre las víctimas, lo que refleja la maduración del ecosistema RaaS.
Al realizar análisis legales para clasificar los datos robados, los extorsionadores buscaban resaltar los riesgos de incumplimiento y la exposición regulatoria bajo marcos como el GDPR, CCPA, y HIPAA así como las leyes aplicables en cada jurisdicción.
El objetivo de Qilin es presionar a las víctimas para que paguen,
convenciéndolas de que los litigios y el daño a su reputación serían más
costosos que el rescate.
Falso cartel de Europol para los administradores de Qilin
En julio de 2025, apareció un canal de Telegram llamado "@EuropolRewards", que se hacía pasar por Europol. Ofrecía recompensas de hasta 50.000 dólares por información que condujera al arresto de los administradores de Qilin, «Haise» y «XORacle». Europol confirmó posteriormente a SecurityWeek que este canal de Telegram era una estafa y no tenía ninguna relación con la agencia policial.
Aún no se sabe quién estuvo detrás de esta campaña. Una teoría sugiere que la propia Qilin la lanzó para averiguar qué información ya tenían los investigadores sobre sus identidades y así mejorar su seguridad operativa (OPSEC). Otra teoría apunta a que ciberdelincuentes rivales querían exponer a los administradores de Qilin, posiblemente para entregar la información a las autoridades con la esperanza de que fueran arrestados o sancionados.
Ataque a la cadena de suministro de Qilin
A finales de enero de 2025, afiliados de Qilin (identificados por Sophos como STAC4365) lanzaron una ingeniosa campaña de correo electrónico de phishing que simulaba alertas de autenticación de la herramienta ScreenConnect RMM de un proveedor de servicios gestionados.
Las víctimas que hicieron clic en el enlace fueron redirigidas a un sitio web malicioso de phishing que interceptó tanto las credenciales de inicio de sesión como las contraseñas de un solo uso (OTP) de la autenticación multifactor (MFA), otorgando a los atacantes acceso de superadministrador al entorno del proveedor.
Una vez dentro, los atacantes:
- Implementaron sus propias instancias de ScreenConnect en múltiples redes de clientes.
- Se utilizaron PsExec y WinRM para reconocimiento y movimiento lateral.
- Se explotó la vulnerabilidad CVE-2023-27532 en Veeam Cloud Backup.
- Se deshabilitaron las copias de seguridad, se extrajeron datos y se desplegó el ransomware Qilin.
Perspectivas
Qilin RaaS es inusual e interesante por varias razones. Sus afiliados abarcan desde actores de amenazas patrocinados por el Estado norcoreano hasta miembros de SCATTERED SPIDER, así como Devman y Arkana. El sector sanitario sigue siendo un objetivo clave, en consonancia con el enfoque previo de FIN12 en los hospitales.
Qilin ha estado absorbiendo afiliados de grupos disueltos como LockBit y ALPHV/BlackCat. Existen indicios de que su infraestructura no puede soportar el volumen de ataques realizados por sus usuarios. Sus administradores también están innovando mediante la expansión a través de la red Qilin e introduciendo tácticas de intimidación legal a través de la función "llamar a un abogado".
Como resultado, Qilin representa una de las amenazas RaaS más peligrosas y adaptables activas en la actualidad.
Buenas prácticas recomendadas
- Mantener y probar las copias de seguridad.
- Asegurar que los sistemas de prevención de pérdida de datos (DLP) estén configurados correctamente.
- Desarrollar y practicar planes de respuesta ante incidentes mediante simulacros.
- Preparar escenarios en los que los ciberdelincuentes intenten resaltar las implicaciones legales de las brechas de seguridad.