🗓️ 20 de junio de 2025
✍️ Ravie Lakshmanan
🔐 Cibercrimen / Ransomware
Los actores detrás del ransomware como servicio (RaaS) Qilin han introducido una nueva función en su panel de afiliados que permite ofrecer asesoría legal personalizada, con el objetivo de ejercer una presión adicional sobre las víctimas y forzarlas a pagar rescates más elevados.
La empresa israelí de ciberseguridad Cybereason informó que esta nueva funcionalidad, denominada "Llamar al abogado", forma parte de una estrategia más amplia del grupo para intensificar su actividad criminal y llenar el vacío dejado por grupos rivales como LockBit, Black Cat, RansomHub, Everest y BlackLock, que han sufrido colapsos operativos y ataques externos.
También conocidos como Gold Feather y Water Galura, los cibercriminales de Qilin han estado activos desde octubre de 2022.
📈 Qilin: Uno de los Grupos Más Activos del 2025
Según datos extraídos de sitios en la dark web utilizados para publicar filtraciones de datos, Qilin fue responsable de 72 ataques en abril de 2025 y de 55 ataques en mayo, ubicándose entre los grupos más activos, junto a Safepay (72) y Luna Moth (67).
Desde inicios del año, ha acumulado 304 víctimas, posicionándose como el tercer grupo más activo detrás de Cl0p y Akira.
“Qilin se destaca por su ecosistema maduro, su amplia gama de servicios de soporte y sus ataques altamente dirigidos que buscan obtener pagos sustanciales”, señaló un análisis reciente de Qualys.
Se sospecha que varios afiliados del desaparecido grupo RansomHub se han unido a Qilin, lo que explicaría el aumento en su actividad en los últimos meses.
⚙️ Infraestructura y Servicios de Qilin
Investigadores de Cybereason detallaron que Qilin opera con una infraestructura técnica avanzada:
Payloads (cargas maliciosas) desarrolladas en Rust y C
Loaders con funciones de evasión sofisticadas
Panel de afiliados con:
Ejecución en modo seguro
Propagación por red
Limpieza de registros
Herramientas automatizadas de negociación
Además, el grupo ofrece:
Servicios de spam
Almacenamiento de datos a gran escala (PB - petabytes)
Asistencia legal
Funciones DDoS contra las víctimas
Herramientas para bombardear correos y teléfonos corporativos
“Si necesitas asesoría legal sobre tu objetivo, simplemente haz clic en el botón ‘Llamar al abogado’ dentro de la interfaz del panel, y nuestro equipo legal se comunicará contigo para brindarte apoyo calificado”, se lee en un mensaje traducido publicado en foros criminales.
Esta táctica busca aumentar la presión psicológica sobre las empresas, ya que la presencia de un abogado en la negociación puede inducir miedo a posibles consecuencias legales, y con ello, incrementar el valor del rescate.
🧪 Otras Tendencias y Casos Relacionados
El grupo Rhysida estaría utilizando la herramienta de código abierto Eye Pyramid C2 como medio para mantener el acceso a sistemas comprometidos.
Esta herramienta ya había sido empleada por RansomHub en 2024.
Por otro lado, un análisis reciente de los chats filtrados del grupo Black Basta reveló detalles sobre un actor clave conocido como “Tinker”, quien habría trabajado como director creativo y negociador, además de ejecutar campañas de phishing dirigidas usando Microsoft Teams.
“Tinker habría recibido al menos 105,000 dólares en criptomonedas entre diciembre de 2023 y junio de 2024”, informó Intel 471.
👮 Arrestos y Operaciones Policiales
Un miembro extranjero del grupo Ryuk fue extraditado a EE.UU. en abril de 2025 por su rol como broker de acceso inicial a redes corporativas.
En Tailandia, la policía arrestó a varios sospechosos tras descubrir un hotel usado como centro de operaciones de ransomware y casa de apuestas ilegales.
Además, se desmanteló una red de estafa de inversión en línea que engañó a víctimas en Australia, como parte de la Operación Firestorm.
📌 Conclusión
La evolución de Qilin muestra cómo el ransomware se está convirtiendo en un modelo de negocio cada vez más sofisticado, estructurado y profesionalizado, con servicios que imitan empresas reales —incluyendo consultoría legal, asistencia técnica y estrategias de negociación complejas— para aumentar la eficacia de sus extorsiones.
Referencias : https://thehackernews.com/2025/06/qilin-ransomware-adds-call-lawyer.html
