El grupo de ransomware Qilin fue detectado ejecutando cifradores Linux dentro de sistemas Windows mediante el uso del Subsistema de Windows para Linux (WSL), una técnica que le permite esquivar herramientas de seguridad tradicionales, según revelaron Trend Micro y Cisco Talos.
El grupo cibercriminal de ransomware Qilin, está utilizando el Subsistema de Windows para Linux (WSL) -una función que permite ejecutar programas de Linux dentro de Windows- para desplegar su malware y burlar las defensas tradicionales, como los antivirus y los sistemas EDR (herramientas que monitorean la actividad de los equipos para detectar comportamientos sospechosos). Así lo advirtieron investigadores de Trend Micro y Cisco Talos, quienes destacan la sofisticación de esta nueva técnica.
Los especialistas explicaron que lo atacantes, una vez dentro de la red, activan o instalan WSL mediante scripts o comandos, y luego ejecutan el cifrador Linux dentro de ese entorno. “Los actores de amenazas fueron capaces de ejecutar el cifrador en sistemas Windows aprovechando WSL, una función incorporada que permite ejecutar binarios de Linux sin necesidad de una máquina virtual”, señalaron.
Esta capacidad técnica refuerza la posición de Qilin como una de las operaciones de ransomware más activas del año. De acuerdo con datos de ambas empresas, el grupo ha atacado a más de 700 organizaciones en 62 países solo en 2025, con un promedio de 40 víctimas publicadas mensualmente durante el segundo semestre del año. Entre las víctimas también figuran entidades chilenas, entre las cuales -se presume- estarían el Instituto de Salud Pública y la Subsecretaría de Prevención del Delito, ambas ocurridas durante este año.
Los analistas también han detectado el uso de herramientas legítimas y utilidades integradas de Windows para infiltrarse y robar información. Entre ellas destacan AnyDesk, ScreenConnect y Splashtop para acceso remoto, junto con Cyberduck y WinRAR para la exfiltración de datos. Incluso aplicaciones básicas como Paint y Notepad son utilizadas para revisar documentos con información sensible antes de ser sustraídos.
Otro aspecto preocupante de la operación es el uso de la técnica Bring Your Own Vulnerable Driver (BYOVD), mediante la cual los atacantes instalan controladores firmados pero vulnerables como eskle.sys, el cual es utilizado para desactivar programas de seguridad antes de lanzar el cifrado. Cisco Talos advirtió que los afiliados de Qilin emplean además herramientas como dark-kill y HRSword para detener procesos de antivirus y eliminar rastros de su actividad maliciosa.
“Observamos intentos de desactivar EDR por múltiples métodos”, indicó Cisco Talos, explicando que los atacantes recurren tanto a la ejecución directa de uninstall.exe de los EDR como a comandos del sistema para detener servicios.
El cifrador Linux de Qilin, presentado a fines de 2023, tiene como objetivo principal máquinas virtuales VMware ESXi y servidores, y cuenta con opciones avanzadas de configuración y pruebas. Ahora, al combinar esta herramienta con WSL, el grupo ha conseguido ejecutar código Linux en entornos Windows, eludiendo mecanismos de defensa enfocados en comportamientos típicos de programas PE.
Los expertos advierten que este método evidencia cómo las bandas de ransomware están adaptando sus operaciones a entornos híbridos para ampliar su impacto y superar las barreras de detección tradicionales.