Los actores de amenaza detrás del esquema Qilin Ransomware-As-A-Service (RAAS) ahora están ofreciendo asesores legales para los afiliados para presionar más a las víctimas para que pague, ya que el grupo de delitos cibernéticos intensifica su actividad e intenta llenar el vacío dejado por sus rivales.
La nueva característica toma la forma de una característica de «abogado de llamadas» en el panel de afiliados, según la compañía israelí de ciberseguridad Cyber y.
El desarrollo representa un nuevo resurgimiento del grupo de delitos electrónicos, ya que los grupos de ransomware que alguna vez fueron populares como Lockbit, Black Cat, Ransomhub, Everest y Blacklock han sufrido cesas abruptas, fallas operativas y desafíos. El grupo, también rastreado como Gold Feather y Water Galura, ha estado activo desde octubre de 2022.
Los datos compilados de los sitios de fuga web oscuro administrados por grupos de ransomware muestran que Qilin lideró con 72 víctimas en abril de 2025. En mayo, se estima que está detrás de 55 ataques, lo que lo coloca detrás de Safepay (72) y Luna Moth (67). También es el tercer grupo más activo después de CL0P y Akira desde el comienzo del año, reclamando un total de 304 víctimas.
«Qilin está por encima del resto con su mercado en rápido aumento debido a un ecosistema maduro, amplias opciones de soporte para clientes y soluciones sólidas para garantizar ataques de ransomware altamente específicos y de alto impacto diseñados para exigir pagos sustanciales», dijo Qualys en un análisis del grupo esta semana.
Hay evidencia que sugiere que los afiliados que trabajan para Ransomhub han migrado a Qilin, contribuyendo al pico en la actividad de ransomware de Qilin en los últimos meses.
«Con una presencia creciente en los foros y rastreadores de actividades de ransomware, Qilin opera una infraestructura técnicamente madura: cargas útiles integradas en óxido y C, cargadores con características de evasión avanzadas y un panel afiliado que ofrece ejecución de modo seguro, propagación de red, limpieza de registros y herramientas de negociación automatizadas», dijeron los investigadores Mark Tsipershtein y Evgeny Ananin.
«Más allá del malware en sí, Qilin ofrece servicios de spam, almacenamiento de datos a escala de PB, orientación legal y un conjunto completo de características operativas, posicionándose no solo como un grupo de ransomware, sino como una plataforma de delito cibernético de servicio completo».
La disminución y la desaparición de otros grupos se han complementado con nuevas actualizaciones al Panel de Afiliados de Qilin, incorporando una nueva función de asistencia legal, un equipo de periodistas internos y la capacidad de realizar ataques distribuidos de denegación de servicio (DDoS). Otra adición notable es una herramienta para enviar spam a direcciones de correo electrónico corporativas y números de teléfono.
La expansión de la característica indica un intento por parte de los actores de amenaza de comercializarse como un servicio de delito cibernético completo que va más allá del ransomware.
«Si necesita una consulta legal con respecto a su objetivo, simplemente haga clic en el botón ‘Llamar abogado’ ubicado dentro de la interfaz de destino, y nuestro equipo legal se comunicará con usted en privado para proporcionar apoyo legal calificado», dice una versión traducida de una publicación de foro que anuncia las nuevas capacidades.
«La mera aparición de un abogado en el chat puede ejercer presión indirecta sobre la empresa y aumentar la cantidad de rescate, ya que las empresas desean evitar los procedimientos legales».
El desarrollo se produce cuando Intrinsec evaluó que al menos un afiliado de Rhysida ha comenzado a usar una utilidad de código abierto llamada Eye Pyramid C2 probablemente como una herramienta posterior a la compromiso para mantener el acceso a puntos finales comprometidos y entregar cargas útiles adicionales.
Vale la pena señalar que la pirámide Eye Pyramid C2 se refiere a la misma puerta trasera basada en Python que fue desplegada por actores de amenaza vinculados a la tripulación de Ransomhub en el cuarto trimestre de 2024.
También sigue un nuevo análisis de los registros de chat Black Basta filtrados, que ha arrojado luz sobre un actor de amenaza que realizó el alias en línea «Tinker». Su identidad del mundo real es actualmente desconocida.
Se dice que Tinker, Per Intel 471, es uno de los ayudantes de Tramp de Tramp, el líder del grupo, y se unió a la empresa criminal como un «director creativo» después de tener una experiencia previa en la ejecución de centros de llamadas, incluso para el ahora desaparecido grupo Conti, y como negociador de Blacksuit (AKA Royal).
«El actor Tinker desempeñó un papel importante en la obtención de acceso inicial a las organizaciones», dijo la compañía de seguridad cibernética. «Las conversaciones filtradas revelan que Tinker analizaría los datos financieros y evaluaría la situación de una víctima antes de las negociaciones directas».
El actor de amenaza, además de realizar investigaciones de código abierto para obtener información de contacto para el personal superior de la compañía para extorsionarlos a través de llamadas telefónicas o mensajes, tuvo la tarea de escribir correos electrónicos de phishing diseñados para violar las organizaciones.
Tinker, en particular, también se le ocurrió el escenario de phishing con sede en los equipos de Microsoft, en el que los atacantes se disfrazarían de un empleado del departamento de TI, advirtiendo a las víctimas que están al final de un ataque de spam e instando a los empleados a instalar herramientas de escritorio remotas como Anydesk y otorgarles acceso a sus sistemas.
«Después de instalar el software RMM, la persona que llama se comunicaría con uno de los probadores de penetración de Black Basta, que luego se moverían para asegurar el acceso persistente al sistema y el dominio», dijo Intel 471.
Los mensajes filtrados también revelan que Tinker recibió no menos de $ 105,000 en criptomonedas por sus esfuerzos entre el 18 de diciembre de 2023 y el 16 de junio de 2024. Dicho esto, actualmente no está claro para qué grupo pueden estar trabajando.
Los hallazgos coinciden con la extradición de un miembro extranjero de Ryuk de 33 años sin nombre del Grupo de Ransomware Ryuk a los Estados Unidos por su presunto papel como corredor de acceso inicial (IAB) y facilitando el acceso a las redes corporativas. El sospechoso fue arrestado de Kyiv a principios de abril a pedido de la policía de los Estados Unidos.
El miembro «se dedicó a la búsqueda de vulnerabilidades en las redes corporativas de las empresas víctimas», dijo la Policía Nacional de Ucrania en un comunicado. «Los datos obtenidos por el hacker fueron utilizados por sus cómplices para planificar y llevar a cabo ataques cibernéticos».
Las autoridades dijeron que pudieron rastrear al sospechoso después de un análisis forense de equipos incautados en una redada anterior que tuvo lugar en noviembre de 2023 dirigidos a miembros de LockerGoga, Megacortex y Dharma Ransomware Families.
En otros lugares, los oficiales de policía en Tailandia han detenido a varios ciudadanos chinos y otros sospechosos del sudeste asiático después de asaltar un hotel en Pattaya que se usó como una guarida de juegos de azar y como oficinas para llevar a cabo operaciones de ransomware.
Se dice que el esquema de ransomware fue administrado por seis ciudadanos chinos, que enviaron enlaces maliciosos a las empresas para infectarlos con ransomware. Los informes de los medios locales dicen que eran empleados de una pandilla de delitos cibernéticos, a quienes se les pagaba para distribuir los enlaces atrapados en las empresas chinas.
La Oficina de Investigación Central de Tailandia (CIB), esta semana, también anunció el arresto de más de una docena de extranjeros como parte de la Operación Firestorm por supuestamente administrar una estafa de inversión en línea que defraudó a varias víctimas en Australia llamándolas y engañándolos para que inviertan sus dinero en bonos a largo plazo con una promesa de altos rendimientos.
