La operación de ransomware Qilin / Agenda se ha unido recientemente a ataques que explotan dos vulnerabilidades de Fortinet que permiten eludir la autenticación en dispositivos vulnerables y ejecutar código malicioso de forma remota.
Las vulnerabilidades de seguridad de Fortinet se explotan con frecuencia como vulnerabilidades de día cero en campañas de ciberespionaje y para vulnerar las redes corporativas mediante ataques de ransomware.
Qilin (también conocido como Phantom Mantis) surgió en agosto de 2022 como una operación de ransomware como servicio (RaaS) bajo el nombre "Agenda" y desde entonces se ha atribuido la responsabilidad de más de 310 víctimas en su sitio de filtraciones de la dark web.
Su lista de víctimas también incluye organizaciones de alto perfil, como el gigante automotriz Yangfeng, el gigante editorial Lee Enterprises, Australia's Court Services Victoria , y el servicio de patología Synnovis. El incidente de Synnovis afectó a varios hospitales importantes del NHS en Londres, lo que los obligó a cancelar cientos de citas y operaciones.
La empresa de inteligencia de amenazas Prodaft, que detectó estos nuevos ataques de ransomware Qilin, parcialmente automatizados y dirigidos a varias vulnerabilidades de Fortinet, también reveló que los actores de amenazas se están centrando actualmente en organizaciones de países hispanohablantes, pero prevén que la campaña se expanda a nivel mundial.
"Phantom Mantis lanzó recientemente una campaña de intrusión coordinada dirigida a múltiples organizaciones entre mayo y junio de 2025. Evaluamos con un nivel de confianza moderado que el acceso inicial se está logrando mediante la explotación de varias vulnerabilidades de FortiGate, incluyendo CVE-2024-21762, CVE-2024-55591 y otras", afirma Prodaft en una alerta privada compartida con BleepingComputer.
"Nuestras observaciones indican un interés particular en los países hispanohablantes, como se refleja en los datos presentados en la tabla a continuación. Sin embargo, a pesar de este enfoque regional, evaluamos que el grupo continúa seleccionando sus objetivos de forma oportunista, en lugar de seguir un patrón de ataque estrictamente geográfico o sectorial".
Una de las vulnerabilidades explotadas en esta campaña, identificada como CVE-2024-55591, también fue explotada como vulnerabilidad Zero-Day por otros grupos de amenazas para vulnerar los firewalls de FortiGate desde noviembre de 2024. El operador del ransomware Mora_001 también la utilizó para implementar la variante de ransomware SuperBlack, vinculada a la infame banda de ciberdelincuentes LockBit, según investigadores de Forescout.
La segunda vulnerabilidad de Fortinet explotada en estos ataques de ransomware Qilin (CVE-2024-21762) fue parcheada en febrero. La CISA la añadió a su catálogo de vulnerabilidades de seguridad explotadas activamente y ordenó a las agencias federales que protegieran sus dispositivos FortiOS y FortiProxy antes del 16 de febrero.
Casi un mes después, la Fundación Shadowserver anunció que había descubierto que casi 150.000 dispositivos seguían siendo vulnerables a los ataques CVE-2024-21762.
En febrero, Fortinet reveló que el grupo chino Volt Typhoon utilizó dos vulnerabilidades de VPN SSL de FortiOS (CVE-2022-42475 y CVE-2023-27997) para implementar el malware troyano de acceso remoto (RAT) personalizado Coathanger, que previamente se había utilizado para crear una puerta trasera en una red militar del Ministerio de Defensa neerlandés.
Fuente: BC