El grupo de ciberdelincuentes conocido como Qilin, también llamado Gold Feather o Water Galura, ha intensificado su actividad como grupo de ransomware como servicio (RaaS) desde su aparición en octubre de 2022. En una movida inusual, recientemente añadieron una opción en su panel de afiliados llamada “Call Lawyer”, que permite a los operadores involucrar supuestos abogados en las negociaciones con las víctimas, con el objetivo de ejercer presión psicológica y aumentar la probabilidad de pago del rescate.
Qilin ha ganado protagonismo tras la caída o reducción de actividad de otros grupos como LockBit, BlackCat, Everest, RansomHub y BlackLock. Según registros de portales de filtración de datos en la dark web, Qilin fue responsable de 72 ataques en abril y 55 en mayo de 2025, alcanzando un total de 304 víctimas en lo que va del año. Esto lo posiciona como el tercer grupo más activo, detrás de Cl0p y Akira.
El grupo ha demostrado tener una infraestructura sofisticada y madura. Utiliza malware escrito en lenguajes como Rust y C, cargadores con capacidades de evasión, ejecución en modo seguro, propagación lateral dentro de redes, borrado de registros y mecanismos de cifrado avanzados que utilizan AES y ChaCha20. A esto se suma una plataforma que incluye servicios de spam, almacenamiento de datos a escala petabyte, ataques DDoS y negociación automatizada.
Lo más llamativo ha sido la implementación del botón “Call Lawyer”. Según un mensaje publicado por el grupo en foros clandestinos, este sistema permite contactar con un equipo legal para discutir el enfoque hacia una víctima específica. Se argumenta que, simplemente al hacer notar que un abogado está presente en el canal de negociación, se puede ejercer una presión sutil pero efectiva sobre las empresas atacadas, generando miedo a consecuencias legales o pérdida de reputación.
Este enfoque refleja un cambio de paradigma: Qilin no solo ofrece un software malicioso, sino una experiencia profesionalizada para sus afiliados. La plataforma integra herramientas técnicas, tácticas de persuasión y servicios complementarios, como asistencia para redactar comunicados de prensa o realizar campañas de presión adicionales mediante llamadas y correos masivos.
Tras el cierre o debilitamiento de grupos rivales, muchos afiliados han migrado a Qilin, lo que ha fortalecido aún más su alcance y presencia. Esto también ha contribuido a que adopten una estructura más robusta, con capacidades que van mucho más allá del simple cifrado de archivos.
Frente a este tipo de amenazas, expertos en ciberseguridad recomiendan adoptar una estrategia integral de defensa, que incluya segmentación de redes, políticas Zero Trust, respaldos inmutables, actualizaciones constantes, detección y respuesta ante amenazas, así como preparación para negociaciones y manejo de crisis.
Qilin representa una nueva generación de ransomware, más profesional, organizado y peligroso, donde los límites entre el crimen cibernético y el chantaje empresarial se difuminan mediante estrategias legales, psicológicas y tecnológicas. La prevención, hoy más que nunca, debe ser tan sofisticada como la amenaza.
📎 Fuente: The Hacker News
