El grupo de ransomware Qilin, también conocido como Agenda, ha desarrollado un ataque híbrido que utiliza cargas útiles de Linux en hosts de Windows para evadir la detección. Al abusar de herramientas legítimas de gestión remota y explotar controladores vulnerables, los atacantes desactivan las defensas y apuntan a las copias de seguridad. Esta táctica multiplataforma resalta la sofisticación evolutiva del ransomware.
La operación de ransomware Qilin, activa desde 2022, ha surgido como uno de los grupos de ransomware como servicio más prolíficos en 2025, reclamando más de 40 víctimas mensuales y alcanzando un pico de 100 en junio, según el análisis de Trend Micro. En una campaña reciente detallada por investigadores de seguridad, Qilin desplegó un binario de ransomware de Linux en sistemas Windows a través de herramientas confiables como WinSCP para la transferencia de archivos y Splashtop Remote para la ejecución, eludiendo los sistemas tradicionales de detección y respuesta en puntos finales (EDR) centrados en Windows.
Los atacantes obtuvieron acceso inicial a través de páginas falsas de CAPTCHA de Google alojadas en Cloudflare R2, que entregaron JavaScript ofuscado que conducía a ladrones de información que recolectaron credenciales de servidores de comando y control en 45.221.64.245/mot/ y 104.164.55.7/231/means.d. Estas cuentas robadas permitieron el movimiento lateral, con reconocimiento realizado utilizando comandos de ScreenConnect como 'nltest /domain_trusts' y 'net group "domain admins" /domain'.
Para mantener la persistencia, Qilin instaló AnyDesk a través de ATERA RMM y ScreenConnect, disfrazando la actividad como tareas administrativas. La evasión de defensas se basó en técnicas de bring-your-own-vulnerable-driver (BYOVD), cargando controladores firmados como eskle.sys —reutilizado de un proveedor de juegos chino— y otros como rwdrv.sys y hlpdrv.sys a través de DLLs cargadas lateralmente como msimg32.dll ejecutadas por aplicaciones legítimas como FoxitPDFReader.exe. Estos controladores realizaron verificaciones de VM, mataron procesos de seguridad y terminaron herramientas EDR.
Un enfoque clave fue el robo de credenciales de la infraestructura de respaldo Veeam utilizando scripts de PowerShell codificados en Base64 para extraer nombres de usuario y contraseñas de tablas SQL que incluyen Credentials, BackupRepositories y WinServers. Esto permitió el acceso a controladores de dominio, servidores Exchange y bases de datos SQL. El movimiento lateral se extendió a hosts de Linux a través de binarios de PuTTY renombrados como test.exe y 1.exe para conexiones SSH.
El encriptador de Linux, que requiere una contraseña para ejecutarse, lista blanca procesos, bloquea extensiones de archivos y excluye directorios principales, con actualizaciones que agregan detección de Nutanix AHV. Proxies SOCKS distribuidos de COROXY ocultos en carpetas para Veeam, VMware, Adobe y USOShared aseguraron un comando y control resiliente.
"Este ataque desafía los controles de seguridad tradicionales centrados en Windows", informó Trend Micro. "El despliegue de ransomware de Linux en sistemas Windows demuestra cómo los actores de amenazas se están adaptando para eludir sistemas de detección en puntos finales no configurados para detectar o prevenir binarios de Linux que se ejecutan a través de canales de gestión remota." La táctica, también notada por Cisco Talos, subraya la necesidad de visibilidad en herramientas RMM y entornos híbridos para contrarrestar tales operaciones de bajo ruido.