El panorama de ransomware fue testigo de un cambio dramático en junio de 2025 a medida que el Grupo de Ransomware Qilin aumentó para convertirse en el actor de amenaza más activo, registrando 81 víctimas y representando un asombroso aumento del 47.3% en la actividad en comparación con los meses anteriores.
Esta operación de ransomware como servicio, que ha acumulado más de 310 víctimas desde su aparición, se ha distinguido a través de metodologías de ataque sofisticadas y la explotación estratégica de las vulnerabilidades de infraestructura crítica.
La rápida ascensión del grupo refleja la naturaleza en evolución de las amenazas de ransomware, donde la innovación técnica y la orientación oportunista convergen para crear desafíos de ciberseguridad sin precedentes.
La reciente campaña del grupo ha aprovechado principalmente vulnerabilidades críticas en los dispositivos de seguridad empresariales de Fortinet, específicamente dirigido a CVE-2024-21762 y CVE-2024-55591 en dispositivos FortiGate y Fortiproxy sin parpadear.
Estas vulnerabilidades habilitan el bypass de autenticación y las capacidades de ejecución de código remoto, proporcionando a los actores de amenaza vías directas a las redes empresariales.
A pesar de que CVE-2024-21762 se reparó en febrero de 2025, decenas de miles de sistemas permanecen expuestos, creando una superficie de ataque expansiva que Qilin ha explotado sistemáticamente a través de mecanismos de implementación parcialmente automatizados.
Analistas de cyfirma identificado Que la campaña, observada intensamente entre mayo y junio de 2025, se centró inicialmente en las regiones de habla hispana, pero desde entonces se ha convertido en una orientación oportunista que trasciende los límites geográficos y sectoriales.
Objetivos geográficos (fuente – Cyfirma)
Los investigadores señalaron que el enfoque de Qilin difiere significativamente de las operaciones tradicionales de ransomware, incorporando exploits de día cero y aprovechando dispositivos de seguridad perimetrales ampliamente desplegados como vectores de ataque primarios.
Este pivote estratégico demuestra la madurez técnica y la capacidad del grupo para adaptarse rápidamente a las vulnerabilidades emergentes en entornos empresariales.
El alcance de las operaciones de Qilin se extiende más allá de la implementación de ransomware convencional, que abarca un ecosistema integral del delito cibernético que incluye distribución de spam, ataques DDoS, capacidades de almacenamiento de datos a escala de petabyte e incluso periodistas internos para las campañas de presión psicológica.
Idustries dirigidas en junio de 2025 (fuente – Cyfirma)
Este enfoque multifacético posiciona a Qilin para llenar el vacío operativo dejado por grupos desaparecidos como Lockbit y BlackCat, atrayendo afiliados y ampliando su alcance en los mercados globales.
Mecanismo de infección y cadena de explotación
El mecanismo de infección de Qilin representa un sofisticado proceso de etapas múltiples que comienza con la identificación y explotación sistemática de los electrodomésticos vulnerables Fortinet.
La cadena de ataque se inicia cuando los actores de amenaza realizan un reconocimiento para identificar dispositivos FortiGate y fortiproxias no parpados expuestos a Internet.
Al descubrir sistemas vulnerables, el grupo aprovecha la capacidad de derivación de autenticación de CVE-2024-21762 para obtener acceso inicial sin requerir credenciales válidas.
El proceso de explotación implica enviar solicitudes especialmente elaboradas a los dispositivos Fortinet vulnerables, lo que permite la ejecución de código remoto que establece un punto de apoyo dentro de la red de destino.
Una vez dentro, la carga útil de Qilin, escrita en lenguajes de programación de óxido y C, emplea mecanismos avanzados de persistencia, incluida la ejecución de modo seguro y las capacidades de propagación de red.
La arquitectura modular del malware permite las herramientas de negociación automatizadas y las tácticas de presión psicológica, incluida la característica de “abogado de llamadas” recientemente introducida que simula la participación legal durante las negociaciones de rescate, maximizando el impacto psicológico en las víctimas al tiempo que racionaliza el proceso de extorsión.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
