(https://i.imgur.com/mMQymc9.jpeg)
El ecosistema del ransomware continúa evolucionando, y el grupo cibercriminal detrás del esquema ransomware como servicio (RaaS) conocido como Qilin ha dado un paso más allá en la sofisticación de sus operaciones. Ahora, este grupo está proporcionando asesoría legal a sus afiliados, con el objetivo de incrementar la presión sobre las víctimas y maximizar los pagos por rescate. Esta funcionalidad se encuentra integrada en el panel de control de afiliados bajo el nombre "Llamar a un abogado".
Qilin: líder en ataques de ransomware en 2025Según la firma de ciberseguridad Cybereason, esta nueva estrategia legal forma parte de un proceso de expansión del grupo Qilin, también identificado como Gold Feather y Water Galura, activo desde octubre de 2022. Con la caída de grupos como LockBit, BlackCat, Everest, RansomHub y BlackLock, Qilin ha logrado posicionarse como uno de los principales actores en el mercado del ransomware.
En abril de 2025, Qilin encabezó la lista de grupos con más ataques, registrando 72 víctimas. En mayo, se le atribuyeron al menos 55 ataques, superado solo por Safepay (72) y Luna Moth (67). Desde inicios del año, Qilin se mantiene como el tercer grupo de ransomware más activo, solo detrás de Cl0p y Akira, con un total de 304 víctimas documentadas.
Una plataforma de ciberdelincuencia "todo en uno"De acuerdo con un análisis reciente de Qualys, Qilin ha construido un ecosistema criminal maduro que ofrece desde cargas útiles en Rust y C, hasta herramientas avanzadas para evadir detección, propagarse en redes, borrar rastros y automatizar negociaciones. Además, el grupo ofrece servicios complementarios como spam, almacenamiento de datos a gran escala y orientación legal, lo que lo convierte en mucho más que un proveedor de ransomware.
Una de las adiciones más polémicas es su función de asistencia legal, que permite a los afiliados contactar con un supuesto equipo jurídico del grupo para obtener apoyo estratégico en los procesos de extorsión. Según capturas de foros de la dark web, incluso se destaca que la "mera presencia de un abogado en el chat puede presionar a las empresas víctimas a pagar, por temor a consecuencias legales".
Asimismo, el panel de afiliados ahora permite realizar ataques DDoS, enviar spam automatizado a correos y teléfonos corporativos, e incluso acceder a un equipo de "periodistas internos" que ayudan a crear presión mediática sobre las víctimas.
Migración de afiliados y crecimiento tras la caída de RansomHubLas recientes disoluciones y fracturas en grupos como RansomHub han provocado que varios de sus afiliados migren a Qilin, impulsando aún más su crecimiento. Esta transferencia de talento delictivo ha convertido a Qilin en una plataforma de ciberdelincuencia como servicio (CaaS) altamente profesionalizada.
Los investigadores Mark Tsipershtein y Evgeny Ananin destacan que la infraestructura de Qilin es una de las más avanzadas técnicamente, con mecanismos de ejecución en modo seguro, limpieza de logs y sofisticadas herramientas de acceso remoto.
Nuevas tácticas y amenazas paralelas en el entorno ransomwareEn paralelo, la firma Intrinsec ha detectado que un afiliado del grupo Rhysida comenzó a utilizar la herramienta de código abierto Eye Pyramid C2, una backdoor basada en Python usada previamente por operadores de RansomHub. Esta utilidad permite mantener el acceso a endpoints comprometidos y lanzar nuevas cargas maliciosas.
Además, una filtración de registros de chat del grupo Black Basta ha revelado la identidad de un actor conocido como Tinker, considerado uno de los colaboradores más cercanos al líder del grupo, Tramp. Tinker se encargaba de analizar datos financieros de las víctimas, realizar ingeniería social y dirigir campañas de phishing sofisticadas, como ataques a través de Microsoft Teams que llevaban a los usuarios a instalar herramientas como AnyDesk para facilitar el acceso de los atacantes.
Entre diciembre de 2023 y junio de 2024, Tinker habría recibido al menos 105,000 dólares en criptomonedas, aunque su afiliación actual a un grupo específico no ha sido confirmada.
Acciones legales contra cibercriminales: arrestos en Ucrania y TailandiaEn una operación internacional, un miembro del grupo Ryuk, de 33 años, fue extraditado a Estados Unidos desde Kiev tras ser arrestado por su participación como agente de acceso inicial (IAB). El sospechoso escaneaba redes corporativas en busca de vulnerabilidades, cuyos accesos eran luego vendidos a otros actores para lanzar ataques coordinados.
Simultáneamente, las autoridades de Tailandia desmantelaron una célula criminal compuesta por ciudadanos chinos y del sudeste asiático que operaba desde un hotel en Pattaya. Se trataba de un centro desde el cual se gestionaban campañas de ransomware y estafas de inversión que afectaron a múltiples víctimas, especialmente en Australia.
Qilin redefine el modelo de ransomware como servicioEl caso de Qilin evidencia una evolución significativa en el panorama del ransomware como servicio. El grupo no solo lidera en número de ataques, sino que se consolida como una plataforma de ciberdelincuencia integral, con funcionalidades que incluyen asesoría legal, campañas mediáticas, y herramientas automatizadas de ataque.
Este modelo híbrido entre software malicioso, servicios legales y presión psicológica marca una nueva etapa en la profesionalización del ransomware, obligando a las organizaciones a redoblar sus esfuerzos en detección proactiva, gestión de vulnerabilidades y educación en ciberseguridad.
Fuente: https://thehackernews.com/