Qilin Ransomware Actualización
El grupo de ransomware Qilin, ha permanecido en el primer lugar de actores de ransomware desde 2025 llamando particularmente la atención en abril de 2026 debido a que han comenzado a adoptar nuevas herramientas y técnicas para evadir defensas en sistemas vulnerados.
Qilin apareció por primera vez en 2022 bajo el nombre de Agenda, comenzó realizando ataques de ransomware a todo tipo de organizaciones, incluyendo hospitales en Londres y con un código fuente similar al de Black Basta y variantes de este ransomware. Tiempo después, el código de Agenda fue reescrito en Rust para mejorar su rendimiento y capacidades, bajo las cuales Qilin comenzó a emplear tácticas de doble extorsión en objetivos de alto valor. El grupo opera el ransomware Agenda como un ransomware como servicio (RaaS) que también utilizan para sus ataques.
Recientemente Cisco hizo públicos hallazgos sobre una nueva herramienta que Qilin ha comenzado a implementar en sus ataques, la cual funciona como EDR Killer, es decir, para “matar” las herramientas de detección y respuesta en dispositivos finales, ésta consta de dos controladores vulnerables, en una técnica conocida como “Trae tu Propio Controlador Vulnerable” o BYOVD, y varias etapas de carga y despliegue.
De inicio, Qilin carga un archivo llamado “msimg32.dll”, que es un cargador para comenzar el proceso de infección, este cargador contiene funciones complejas con técnicas de ofuscación para dificultar la detección y los análisis. Posteriormente, luego de múltiples procesos de escritura en memoria y descompresión, se carga el archivo que dará inicio al EDR Killer real, el cual es desencriptado y ejecutado en memoria para desactivar aproximadamente 300 productos EDR distintos, excepto en dispositivos que se encuentre en países post-soviéticos (en los cuales no se ejecuta). Durante la ejecución del EDR Killer, también se carga un controlador llamado “rwdr.sys”, una imitación de otro controlador llamado “ThrottleStop.sys”, que es legítimo y está firmado digitalmente, debido a lo cual su ejecución no levanta alarmas. Este controlador expone interfaces de bajo nivel al usuario y permite la modificación directa del hardware.
Taxonomía
| Tactic | ID | Name |
| Initial Access Methods | T1133 | External Remote Services |
| T1190 | Exploit Public-Facing Application | |
| Execution | T1204.002 | User Execution: Malicious File |
| Privilege Escalation | T1078.002 | Valid Accounts: Domain Accounts |
| T1134 | Access Token Manipulation | |
| Defense Evasion | T1070 | Indicator Removal |
| T1562.001 | Impair Defenses: Disable or Modify Tools | |
| Discovery | T1087.002 | Account Discovery: Domain Account |
| Lateral Movement | T1021.002 | Remote Services: SMB/Windows Admin Shares |
| Impact | T1490 | Inhibit System Recovery |
| T1486 | Data Encrypted for Impact | |
| T1529 | System Shutdown/Reboot |
Indicadores de compromiso
| IOC | Tipo |
| 7787da25451f5538766240f4a8a2846d0a589c59391e15f188aa077e8b888497 | SHA256 |
| 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0 | SHA256 |
| bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56 | SHA256 |
| 12fcde06ddadf1b48a61b12596e6286316fd33e850687fe4153dfd9383f0a4a0 | SHA256 |
Recomendaciones
- Implementar un sistema de seguridad de múltiples capas.
- Educar a los empleados de la organización para que identifiquen y sepan evadir intentos de phishing.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Doyle, A. (2025, abril 23). Qilin Ransomware: Tactics, Techniques, Procedures and Mitigation. Security Daily Review. Recuperado el 15 de abril de 2026, en: https://dailysecurityreview.com/resources/qilin-ransomware-tactics-techniques-procedures-and-mitigation/
- Khodjibaev, A., Nutland, J., Takeda, T., & Unterbrink, H. (2026, abril 2). An overview of ransomware threats in Japan in 2025 and early detection insights from Qilin cases. Cisco Talos Blog. Recuperado el 15 de abril de 2026, en: https://blog.talosintelligence.com/an-overview-of-ransomware-threats-in-japan-in-2025-and-early-detection-insights-from-qilin-cases/
- Lakshmanan, R. (2026, abril 6). Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools. The Hacker News. Recuperado el 15 de abril de 2026, en: https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html
- Unterbrink, H., & Takeda, T. (2026, abril 2). Qilin EDR killer infection chain. Cisco Talos Blog. Recuperado el 15 de abril de 2026, en: https://blog.talosintelligence.com/qilin-edr-killer/
