Qilin


La operación ransomware Qilin se ha unido recientemente a los ataques que explotan dos vulnerabilidades de Fortinet que permiten eludir la autenticación en dispositivos vulnerables y ejecutar código malicioso de forma remota.


Qilin (también conocido como Phantom Mantis) apareció en agosto de 2022 como una operación de ransomware como servicio (RaaS) bajo el nombre "Agenda" y desde entonces se ha atribuido la responsabilidad de más de 310 víctimas en su sitio de filtraciones de la dark web.


Su lista de víctimas también incluye organizaciones de alto perfil, como el gigante automotriz Yangfeng , el gigante editorial Lee Enterprises , Court Services Victoria de Australia y el proveedor de servicios de patología Synnovis . El incidente de Synnovis afectó a varios hospitales importantes del NHS en Londres, lo que los obligó a cancelar cientos de citas y operaciones .


La empresa de inteligencia de amenazas PRODAFT, que detectó estos nuevos ataques parcialmente automatizados del ransomware Qilin dirigidos a varias fallas de Fortinet, también reveló que los actores de amenazas se están centrando actualmente en organizaciones de países de habla hispana, pero esperan que la campaña se expanda a nivel mundial.


"Phantom Mantis lanzó recientemente una campaña de intrusión coordinada dirigida a múltiples organizaciones entre mayo y junio de 2025. Evaluamos con un nivel de confianza moderado que el acceso inicial se está logrando mediante la explotación de varias vulnerabilidades de FortiGate, incluyendo CVE-2024-21762, CVE-2024-55591 y otras", afirma PRODAFT en una alerta privada compartida con BleepingComputer.


Nuestras observaciones indican un interés particular en los países hispanohablantes, como se refleja en los datos presentados en la tabla a continuación. Sin embargo, a pesar de este enfoque regional, consideramos que el grupo continúa seleccionando sus objetivos de forma oportunista, en lugar de seguir un patrón de segmentación estrictamente geográfico o sectorial.



Una de las fallas abusadas en esta campaña, identificada como CVE-2024-55591, también fue explotada como día cero por otros grupos de amenazas para vulnerar los firewalls de FortiGate ya en noviembre de 2024. El operador del ransomware Mora_001 también lo ha utilizado para implementar la cepa de ransomware SuperBlack vinculada a la infame banda de ciberdelincuencia LockBit por los investigadores de Forescout.


La segunda vulnerabilidad de Fortinet explotada en estos ataques de ransomware Qilin (CVE-2024-21762) fue parcheada en febrero, y CISA la agregó a su catálogo de fallas de seguridad explotadas activamente y ordenó a las agencias federales que protegieran sus dispositivos FortiOS y FortiProxy antes del 16 de febrero.


Casi un mes después, la Fundación Shadowserver anunció que había descubierto que casi 150.000 dispositivos aún eran vulnerables a los ataques CVE-2024-21762.


Las vulnerabilidades de seguridad de Fortinet suelen explotarse (con frecuencia como días cero) en campañas de espionaje cibernético y para violar redes corporativas en ataques de ransomware .


Por ejemplo, en febrero, Fortinet reveló que el grupo de piratería chino Volt Typhoon utilizó dos fallas de VPN SSL de FortiOS (CVE-2022-42475 y CVE-2023-27997) para implementar el malware troyano de acceso remoto (RAT) personalizado Coathanger, que se había utilizado anteriormente para crear una puerta trasera en una red militar del Ministerio de Defensa holandés .


Fuente: Bleepingcomputer.