El grupo de ransomware Qilin ha sido observado explotando el Subsistema de Windows para Linux (WSL) para ejecutar encriptadores basados en Linux directamente en sistemas Windows, eludiendo herramientas de seguridad tradicionales. Esta técnica permite que el malware evada la detección por productos de detección y respuesta en puntos finales (EDR) enfocados en comportamientos de Windows. Las firmas de ciberseguridad Trend Micro y Cisco Talos detallaron el método en investigaciones recientes.
La operación de ransomware Qilin, que surgió por primera vez como 'Agenda' en agosto de 2022 y se renombró a Qilin al mes siguiente, ha crecido hasta convertirse en una de las amenazas cibernéticas más activas a nivel mundial. Según investigaciones de Trend Micro y Cisco Talos, el grupo apuntó a más de 700 víctimas en 62 países en 2025, publicando más de 40 nuevas víctimas mensualmente durante la segunda mitad del año.
Los afiliados de Qilin suelen infiltrarse en redes utilizando herramientas legítimas de acceso remoto como AnyDesk, ScreenConnect y Splashtop, junto con software de exfiltración de datos como Cyberduck y WinRAR. También aprovechan utilidades integradas de Windows, incluyendo Microsoft Paint (mspaint.exe) y Notepad (notepad.exe), para escanear documentos en busca de información sensible.
Antes de desplegar encriptadores, los atacantes desactivan el software de seguridad mediante tácticas de Bring Your Own Vulnerable Driver (BYOVD). Despliegan controladores firmados pero vulnerables como eskle.sys para terminar procesos de antivirus y EDR, y usan DLL sideloading para instalar controladores de kernel como rwdrv.sys y hlpdrv.sys para privilegios elevados. Herramientas como 'dark-kill' y 'HRSword' neutralizan aún más las defensas y borran rastros maliciosos. 'Talos observó rastros de intentos de desactivar EDR usando múltiples métodos', explicó Cisco Talos. 'En términos generales, hemos observado frecuentemente comandos que ejecutan directamente 'uninstall.exe' del EDR o intentan detener servicios usando el comando sc. Al mismo tiempo, se ha observado a los atacantes ejecutando herramientas de código abierto como dark-kill y HRSword.'
Una evolución notable involucra el encriptador de Linux de Qilin, reportado por primera vez en diciembre de 2023 para atacar entornos VMware ESXi. Trend Micro observó que los afiliados transfieren el encriptador ELF de Linux vía WinSCP y lo lanzan a través de SRManager.exe de Splashtop en máquinas Windows. Dado que los binarios ELF no pueden ejecutarse de forma nativa en Windows, los actores habilitan o instalan WSL —una función integrada para ejecutar distribuciones de Linux dentro de Windows— para ejecutar la carga. 'En este caso, los actores de amenazas pudieron ejecutar el encriptador de Linux en sistemas Windows aprovechando el Subsistema de Windows para Linux (WSL), una función integrada que permite a los binarios de Linux ejecutarse de forma nativa en Windows sin requerir una máquina virtual', le dijo Trend Micro a BleepingComputer. Este enfoque explota entornos híbridos, ya que muchas herramientas EDR de Windows pasan por alto la actividad de WSL, permitiendo una evasión más amplia.