Investigadores de ciberseguridad han descubierto una táctica del grupo de ransomware Qilin que explota el Subsistema de Windows para Linux (WSL) de Microsoft para ejecutar herramientas de encriptación basadas en Linux en máquinas Windows. Este método permite a los atacantes eludir muchos sistemas de detección y respuesta de endpoints (EDR) al operar en un entorno de sandbox de Linux que las herramientas tradicionales a menudo pasan por alto. La técnica resalta la creciente sofisticación de las operaciones de ransomware que combinan sistemas operativos.
El grupo de ransomware Qilin ha adoptado un enfoque sigiloso al aprovechar WSL, una función integrada de Windows diseñada para que los desarrolladores ejecuten entornos de Linux sin máquinas virtuales. Según el análisis de expertos en ciberseguridad de BleepingComputer, los operadores activan WSL mediante comandos simples, instalan una distribución de Linux como Ubuntu e implementan encriptadores compilados para Linux. Estas cargas útiles operan dentro del espacio de Linux en sandbox, accediendo y encriptando archivos de Windows mientras evaden la detección de herramientas EDR que monitorean principalmente procesos de Windows.
Esta táctica surgió en ataques recientes, con informes que aparecieron alrededor del 29 de octubre de 2025. Las soluciones de seguridad tradicionales se centran en malware nativo de Windows, dejando subsistemas de Linux sin escanear, como se señala en un informe de TechRadar. Una vez activados, los encriptadores bloquean datos críticos y dejan notas de rescate que demandan pagos en criptomonedas, imitando notas de otros grupos.
WSL requiere solo acceso administrativo, que los atacantes a menudo obtienen a través de brechas iniciales como phishing o vulnerabilidades, puntos de entrada comunes en versiones modernas de Windows. Esta baja barrera permite una integración fluida, creando puntos ciegos en entornos de TI híbridos donde Windows domina pero hay elementos de Linux presentes.
Este desarrollo señala una tendencia más amplia en el ransomware, con grupos como Buhti adaptando código de LockBit y Babuk para atacar múltiples plataformas. Las firmas de ciberseguridad reportan un aumento en tales ataques entre sistemas operativos, complicando la detección de amenazas. Para mitigar, los expertos aconsejan mejorar el monitoreo de WSL, imponer acceso de privilegios mínimos, aplicar parches regulares y usar análisis de comportamiento para detectar anomalías como instalaciones inesperadas de Linux.
A medida que los sistemas operativos convergen a través de funciones como WSL, las organizaciones deben adoptar medidas de seguridad unificadas. El fracaso en abordar estas brechas podría llevar a más violaciones no detectadas en redes empresariales.