Aumento explosivo de actividad ransomware
El grupo de ransomware Qilin, también conocido como Agenda, ha sido identificado como la amenaza más activa de abril de 2025, con 72 filtraciones de datos atribuidas en su sitio de filtraciones. Así lo confirma un reciente informe de la firma Group-IB, que señala un preocupante repunte desde febrero, mes en que el grupo duplicó su actividad habitual.
Entre julio de 2024 y enero de 2025, Qilin no superó las 23 filtraciones mensuales. Sin embargo, en febrero reportaron 48, en marzo 44 y en las primeras semanas de abril, otras 45.
Evolución técnica: NETXLOADER y SmokeLoader
Investigadores han detectado una nueva campaña vinculada a Qilin en la que se emplea NETXLOADER, un cargador de malware compilado en .NET y protegido mediante .NET Reactor 6, lo que complica su análisis y detección.
Este componente actúa de forma encubierta, descargando y ejecutando cargas maliciosas adicionales como SmokeLoader y el propio ransomware Agenda (Qilin).
Principales características de NETXLOADER:
- Alta ofuscación y resistencia al análisis.
- Técnicas avanzadas de evasión como JIT hooking y nombres de métodos irrelevantes.
- Se distribuye mediante cuentas válidas comprometidas o phishing dirigido.
- Despliega SmokeLoader, que a su vez ejecuta el ransomware mediante carga reflexiva de DLLs.
Sectores afectados y alcance global
Los ataques de Qilin han impactado a organizaciones en sectores críticos como:
- Salud
- Tecnología
- Servicios financieros
- Telecomunicaciones
Entre los países más afectados se encuentran Estados Unidos, Países Bajos, Brasil, India y Filipinas, según los datos correspondientes al primer trimestre de 2025.
Impacto de la disolución de RansomHub
El crecimiento de Qilin también ha sido impulsado por la desaparición del grupo RansomHub, uno de los grupos de ransomware más activos de 2024. Esta disolución provocó una migración de afiliados hacia Qilin, que ha capitalizado la oportunidad para expandir su red y aumentar su número de ataques.
Recomendaciones para empresas
Ante el avance técnico y operativo de estas amenazas, se recomienda a las organizaciones:
- Fortalecer las políticas de acceso con autenticación multifactor (MFA) y revisión periódica de cuentas.
- Implementar soluciones avanzadas de detección y respuesta en endpoints (EDR).
- Realizar respaldos regulares y mantener copias fuera de línea.
- Capacitar al personal en detección de phishing y buenas prácticas de ciberhigiene.
Conclusión
El caso de Qilin evidencia cómo los grupos de ransomware están aumentando su sofisticación y volumen de ataques. La combinación de técnicas avanzadas como NETXLOADER, una red de afiliados creciente y objetivos estratégicos obliga a las organizaciones a mantenerse en constante vigilancia y fortalecer sus defensas cibernéticas.
