Vectra AI es nombrado líder en el Cuadrante Mágico de Gartner 2025 para Detección y Respuesta de Red (NDR). >
NUEVO

Vectra AI es nombrada Líder en el Cuadrante Mágico de Gartner 2025 para Detección y Respuesta de Redes (NDR). Descargar informe. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Sesiones informativas sobre amenazas

El libro de jugadas de Qilin para 2025 y la brecha de seguridad que deja al descubierto

15 de octubre de 2025
Lucie Cardiet
Responsable de investigación de ciberamenazas
El libro de jugadas de Qilin para 2025 y la brecha de seguridad que deja al descubierto

Qilin no surgió de la nada. El grupo maduró hasta convertirse en una operación de ransomware como servicio de alto rendimiento en 2025, con ataques a organismos públicos, educación, sanidad, industria y grandes empresas. Múltiples informes de inteligencia sitúan a Qilin entre los grupos más activos de este año, con una cuota de dos dígitos en el número mensual de víctimas y un crecimiento interanual de tres dígitos. Los equipos de seguridad de Francia y Estados Unidos sintieron directamente este aumento, desde consejos regionales y distritos escolares hasta oficinas del sheriff y fabricantes.

foto de una pantalla bloqueada por el ransomware Qilin
Fuente: x

Quién es Qilin en la práctica

Qilin ejecuta un modelo RaaS clásico. Los operadores centrales mantienen malware, los sitios de filtración y los portales de negociación. Los afiliados obtienen el acceso inicial, se mueven lateralmente, roban datos, despliegan el casillero y luego presionan a las víctimas con amenazas de publicación. La investigación pública y los análisis de los proveedores describen a Qilin utilizando cargas útiles compatibles con Windows, Linux y ESXi, originalmente asociadas a la familia Agenda, junto con herramientas que favorecen un despliegue rápido y pasos antidefensa.

En resumen, el afiliado específico y el vector de entrada pueden variar, pero el arco operativo de Qilin es consistente. Cabe esperar acceso basado en credenciales, movimiento lateral silencioso, despliegue por lotes, robo de datos y extorsión.

Anatomía de un ataque Qilin

Las operaciones de Qilin siguen una cadena de actividad reconocible. Cada fase revela una oportunidad de detección que suele pasar desapercibida a las herramientas convencionales.

Fase de ataque Técnicas utilizadas por Qilin Reto de detección de claves
Acceso inicial Spearphishing, explotación de RMM, bombardeo de MFA, intercambio de SIM, abuso de credenciales Los atacantes entran utilizando canales que parecen legítimos. El spearphishing suele utilizar enlaces de confianza cloud o señuelos de facturación para obtener credenciales. El abuso de RMM proporciona un acceso similar al soporte remoto que parece legítimo para las herramientas de supervisión. El bombardeo de MFA y los ataques de intercambio de SIM convierten la protección multifactor en una desventaja al coaccionar o interceptar las aprobaciones. Estas técnicas producen autenticaciones y sesiones remotas que parecen normales, por lo que la detección basada en reglas y los controles centrados en firmas suelen pasarlas por alto. Para detectar a tiempo el peligro, es necesario contar con una línea de base de identidades continua y una detección de rutas de autenticación anómalas.
Establecer un punto de apoyo Despliegue de herramientas remotas, escalada de privilegios, persistencia mediante tareas programadas Tras el acceso, los afiliados endurecen la persistencia y amplían los privilegios. Añaden cuentas de administrador, implantan shells remotos o persistencia basada en tareas y desactivan la telemetría para dificultar la detección. Estas acciones a menudo reflejan ventanas de cambio de administrador rutinarias, por lo que se mezclan con la actividad legítima de TI. Una plataforma centrada en el comportamiento pone de relieve los momentos inusuales, las creaciones de cuentas inesperadas y las lagunas repentinas en la telemetría para sacar a la luz esta fase.
Movimiento lateral RDP, SMB, abuso de AD, uso de GPO para el despliegue de ransomware Los operadores de Qilin pivotan utilizando protocolos de gestión legítimos y abuso de AD. Enumeran los fideicomisos y las cuentas de servicio y, a continuación, utilizan GPO o scripts push para ejecutar cargas útiles a gran escala. Dado que se trata de patrones de administración nativos, las reglas perimetrales y de punto final tienden a clasificarlos como ruido de mantenimiento. La detección requiere mapear las relaciones típicas entre administradores y señalar gráficos de autenticación poco comunes, cadenas de procesos inusuales o cambios atípicos en los GPO.
Exfiltración de datos Transferencias de datos Rclone, SMB y API de cloud La filtración se realiza desde servidores, copias de seguridad o cuentas privilegiadas para reducir las sospechas. Los archivos suelen archivarse o cifrarse antes de la transferencia, lo que oculta las huellas digitales del contenido. Las transferencias reflejan los trabajos de copia de seguridad o sincronización, por lo que las alertas volumétricas por sí solas son insuficientes. Se necesita una correlación contextual que vincule las cuentas de origen inusuales, los destinos novedosos y la sincronización fuera de las ventanas programadas para exponer el comportamiento precursor de la filtración.
Impacto y cifrado ransomware basado en Rust con AES-256-CTR, OAEP, AES-NI, ChaCha20; elimina VSS; borra registros. Las modernas cargas útiles de Qilin combinan un cifrado simétrico de alta velocidad y acelerado por hardware con una robusta envoltura de claves asimétricas, lo que hace que la recuperación sin claves sea efectivamente imposible. Los ladrones de extensiones de Chrome se centran en las credenciales y sesiones almacenadas en el navegador para ampliar el acceso. Las rutinas antiforenses borran los registros de eventos de Windows y eliminan la carga útil para frustrar la IR. Los atacantes también eliminan Volume Shadow Copies y corrompen las copias de seguridad para forzar el pago. Por tanto, la detección debe producirse antes de la fase de cifrado; dé prioridad a las señales de comportamiento como las paradas rápidas de servicios, la actividad de almacenamiento masivo de archivos, las operaciones repentinas de VSS y el uso inusual de extensiones de navegador o almacenes de credenciales.

Cada uno de los pasos siguientes representa una huella de comportamiento que los análisis basados en IA pueden sacar a la luz, pero que las herramientas basadas en reglas suelen pasar por alto.

1. Acceso inicial

Los afiliados a Qilin recurren a la ingeniería social y a la explotación de accesos para penetrar en los objetivos.

Las técnicas más comunes son:

  • Spearphishing: los correos electrónicos phishing selectivo entregan cargas maliciosas o enlaces para la obtención de credenciales. Qilin suele utilizar plataformas legítimas de intercambio de archivos cloud nube para aparentar confianza.
  • Explotación de la monitorización y gestión remotas (RMM): Los atacantes secuestran o imitan herramientas RMM de confianza como AnyDesk o ConnectWise para obtener persistencia bajo la apariencia de soporte de TI.
  • Movimiento lateral y explotación: Una vez dentro, Qilin sondea los sistemas conectados y pivota a través de recursos compartidos de red o confianzas de dominio, en busca de credenciales débiles o configuraciones erróneas.
  • Bombardeo de autenticación multifactor (MFA): Repetidas solicitudes de MFA abruman a un usuario, engañándolo para que apruebe un inicio de sesión fraudulento.
  • Intercambio de SIM: En algunos casos, los afiliados de Qilin utilizan el SIM-swapping para interceptar tokens MFA, particularmente en cuentas de ejecutivos o administradores objetivo.

Por qué funciona: Cada una de estas técnicas abusa del comportamiento legítimo de los usuarios , no de las firmas de malware . Sin un análisis continuo de la identidad y una línea de base de comportamiento, los equipos SOC ven estos como "inicios de sesión normales".

2. Establecimiento de puntos de apoyo y escalada de privilegios

Una vez conseguido el acceso, las filiales de Qilin se centran en consolidar el control:

  • Creación de nuevas cuentas de administrador locales o de dominio para garantizar la persistencia.
  • Despliegue de shells o scripts remotos para mantener la conectividad permanente.
  • Desactivar o manipular las defensas de los puntos finales y los servicios de registro.

En muchos casos, desactivan el antivirus, suspenden el registro y plantan puntos de acceso secundarios mediante tareas programadas o la creación de servicios. Esta fase puede durar días, lo que les da tiempo de sobra para identificar dónde residen los datos sensibles.

Brecha de detección: Estas actividades se mezclan con los flujos de trabajo normales de TI. Sin modelos de IA entrenados para identificar escaladas de privilegios inusuales o reutilización de privilegios, estas anomalías rara vez se priorizan.

3. Movimiento lateral y control del dominio

Una vez dentro de la red, Qilin se mueve deliberadamente para obtener el control administrativo total. Ellos usan:

  • Remote Desktop Protocol (RDP) y Windows Management Instrumentation (WMI) para el pivotaje de host a host.
  • Enumeración de Active Directory para identificar sistemas y controladores de dominio de alto valor.
  • Abuso de objetos de directiva de grupo (GPO ) para distribuir cargas útiles en toda la red.

Reto de detección: Muchas de estas acciones reflejan funciones legítimas de administración. Solo las plataformas que modelan continuamente las relaciones entre identidades y privilegios pueden poner de manifiesto este comportamiento en tiempo real.

4. Exfiltración de datos

Antes del cifrado, Qilin exfiltra sistemáticamente los datos confidenciales para realizar una doble extorsión. Entre las herramientas habituales se incluyen Rclone, recursos compartidos SMB y API de almacenamientocloud .

Estas transferencias suelen originarse en cuentas de servicio o servidores de copia de seguridad con privilegios elevados, sistemas que rara vez activan alertas de filtración. Los agresores cifran o comprimen los archivos antes de subirlos a los extremos de cloud para reducir la probabilidad de detección.

5. Impacto y cifrado

En 2025, Qilin introdujo importantes mejoras en sus cargas útiles de ransomware, aumentando tanto el rendimiento como la resistencia:

Mejoras de cifrado

  • AES-256-CTR: utiliza claves de 256 bits en modo contador (CTR), lo que permite un cifrado simétrico de alta velocidad.
  • Relleno óptimo de cifrado asimétrico (OAEP): Refuerza el encapsulado de claves RSA para resistir ataques criptográficos.
  • Optimización AES-NI: Aprovecha las nuevas instrucciones AES x86 para conseguir un cifrado casi instantáneo en las CPU modernas.
  • Cifrado Stream ChaCha20: implementa un cifrado rápido y seguro para determinadas comunicaciones y tipos de archivos.

Estas características hacen que el descifrado sin claves sea casi imposible. En combinación con el cifrado en paralelo, es posible bloquear redes enteras en cuestión de minutos.

Evasión de la seguridad

Las variantes de Qilin están diseñadas para dificultar la investigación forense y la respuesta a incidentes:

  • Borra los registros de eventos de Windows para eliminar los rastros de ejecución.
  • Se elimina a sí mismo después de la encriptación para borrar las pruebas de la carga útil.
  • Elimina los procesos de seguridad y desactiva los informes de telemetría antes de su ejecución.

Corrupción de la copia de seguridad

  • Elimina Windows Volume Shadow Copies (VSS) para evitar la restauración del sistema.
  • Su objetivo son las copias de seguridad en red, a menudo corrompiendo o cifrando instantáneas para maximizar su aprovechamiento.

La brecha de seguridad que aprovecha Qilin

Las herramientas tradicionales dependen de firmas, indicadores estáticos o correlación posterior al evento. Qilin prospera en entornos en los que el comportamiento de la identidad, el movimiento lateral y la telemetría de exfiltración no están unificados.

La detección basada en agentes tiene dificultades en entornos híbridos: los servidores no gestionados, el IoT o las aplicaciones SaaS a menudo no se supervisan. El acceso basado en credenciales elude por completo la detección de endpoints. Y la fatiga de alertas entierra pistas de comportamiento tempranas que deberían haber activado la contención.

Los equipos de SOC necesitan una visión unificada del comportamiento de los atacantes, correlacionada a través de la red, la identidad y la cloud , exactamente donde la plataforma Vectra AI ofrece visibilidad.

Cuando la visibilidad falla, la detección por IA cambia el resultado

La plataformaVectra AI detecta precursores de ransomware centrándose en el comportamiento, no en las firmas:

  • Visibilidad sin agentes en entornos híbridos, incluidos sistemas no gestionados, ESXi e infraestructuras cloud .
  • Correlación basada en IA en las superficies de identidad, red, SaaS y cloud para detectar el uso indebido de credenciales, el movimiento lateral y la filtración.
  • Triaje y priorización en tiempo real que consolida las señales débiles en un único incidente de alta confianza.
  • Perfecta integración con las herramientas SIEM, SOAR y EDR existentes para acelerar la respuesta.

Al mapear los comportamientos de los atacantes en lugar de esperar a los indicadores, Vectra AI permite a los equipos SOC interrumpir las campañas similares a Qilin antes de que se produzcan el cifrado y la exposición de los datos.

El éxito de Qilin en 2025 demuestra que el ransomware ya no depende de nuevas vulnerabilidades. Depende de los puntos ciegos entre sus herramientas. Con la detección basada en IA que supervisa continuamente el comportamiento en la identidad, la red y la cloud, su equipo SOC puede detectar las acciones que definen a los operadores de ransomware modernos antes de que comience el cifrado.

Vea cómo la plataforma Vectra AI detecta lo que otros pasan por alto. Vea la demostración autoguiada para experimentar la detección basada en el comportamiento en acción.

Preguntas frecuentes