El grupo Qilin (también conocido como Agenda) ha sorprendido nuevamente a la comunidad de ciberseguridad al emplear una técnica poco vista: ejecutar binarios de Linux en entornos Windows. Investigadores de Trend Micro descubrieron que los atacantes están utilizando esta táctica para evadir herramientas EDR, robar credenciales de respaldo y desactivar defensas mediante ataques BYOVD (Bring Your Own Vulnerable Driver).
Esta estrategia demuestra la creciente capacidad de los grupos de ransomware para adaptarse a entornos híbridos y cruzar barreras entre sistemas operativos, comprometiendo incluso infraestructuras protegidas por soluciones de seguridad avanzadas.
Cómo se ejecutó el ataque
Los operadores de Qilin trasladaron el ransomware Linux a sistemas Windows utilizando herramientas legítimas como WinSCP (para transferencia segura de archivos) y Splashtop Remote (para ejecutar el binario).
A través de AnyDesk, ScreenConnect, ATERA RMM y MeshCentral, los atacantes mantuvieron acceso persistente, camuflándose como tareas administrativas legítimas.
Además, los delincuentes robaron credenciales de Veeam Backup con scripts PowerShell codificados en Base64, accediendo a bases de datos SQL para extraer contraseñas de administradores de dominio y servidores críticos. Este movimiento les permitió bloquear la recuperación de respaldos y aumentar el impacto del cifrado.
Uso de BYOVD y control a nivel kernel
Para evadir detección, Qilin implementó ataques BYOVD, cargando controladores firmados pero vulnerables, como eskle.sys, rwdrv.sys y hlpdrv.sys.
Estos drivers, originalmente asociados a software de juegos chino, fueron reutilizados para terminar procesos de seguridad y realizar comprobaciones anti-análisis, garantizando la permanencia del ransomware en el sistema.
También se identificó el uso de DLLs maliciosas (como msimg32.dll) que eran inyectadas en aplicaciones legítimas como FoxitPDFReader.exe para cargar código a nivel kernel sin levantar alertas.
Acceso inicial mediante ingeniería social
El vector de entrada de Qilin fue una campaña de phishing altamente elaborada, que usaba falsas páginas de verificación CAPTCHA alojadas en Cloudflare R2.
Estas páginas descargaban JavaScript ofuscado que ejecutaba un sistema de carga por etapas, descargando malware adicional desde servidores de comando y control (C2) como:
45[.]221[.]64[.]245/mot/
104[.]164[.]55[.]7/231/means.d
El malware inicial incluía infostealers que recolectaban cookies, tokens y credenciales, permitiendo a los atacantes burlar la autenticación multifactor (MFA) y moverse lateralmente con sesiones legítimas.
Evasión, persistencia y lateral movement
Qilin combinó múltiples métodos para ocultar su actividad y mantener conectividad continua:
Uso de COROXY SOCKS proxies distribuidos en carpetas de aplicaciones confiables (Veeam, VMware, Adobe) para mantener comunicaciones redundantes.
Implementación de PuTTY renombrado para moverse lateralmente hacia servidores Linux.
Ejecución del binario Linux desde Windows a través de Splashtop Remote, evitando que los EDR detectaran comportamientos anómalos.
El ransomware exigía una contraseña para ejecutarse y mostraba configuraciones detalladas: procesos permitidos, extensiones bloqueadas y directorios excluidos. Las versiones más recientes incluso detectan entornos Nutanix AHV y mejoran su registro de errores, evidenciando una evolución constante del malware.
Un desafío para la defensa moderna
El caso de Qilin expone una nueva era del ransomware híbrido, donde las fronteras entre plataformas se diluyen.
La ejecución de binarios Linux en Windows, el uso de drivers vulnerables y la explotación de herramientas de administración remota muestran que los atacantes están un paso adelante de las defensas tradicionales.
“Este ataque desafía los controles de seguridad centrados en Windows. Las organizaciones deben fortalecer la visibilidad y el control sobre sus herramientas legítimas de administración y monitoreo”, concluye el reporte de Trend Micro.
Conclusión: visibilidad, control y resiliencia
Qilin reafirma la tendencia de “ransomware como servicio” (RaaS) con alta sofisticación y alcance global.
El grupo, activo desde 2022, ha reportado más de 40 víctimas mensuales en 2025, alcanzando un pico de 100 organizaciones comprometidas en junio.
Su capacidad de mezclar técnicas de evasión, explotación de drivers y uso de software legítimo refuerza la urgencia de que las empresas adopten estrategias de defensa integradas, monitoreen herramientas RMM y fortalezcan la protección de credenciales de respaldo.
