Qilin

Qilin, también conocido como Agenda, es un grupo de ransomware que apareció por primera vez en el panorama de amenazas a finales de 2022 y que ha ido ganando notoriedad hasta consolidarse como uno de los actores más activos en 2025. El nombre del grupo hace referencia a una criatura mitológica china, el Qilin, que combina un dragón y un animal con cuernos. Sin embargo, a pesar de la simbología oriental, muchos indicios que sugieren que sus operadores son ciberdelincuentes de habla rusa.

Al igual que muchos otros grupos de ransomware, Qilin opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que le permite extender su alcance mediante una red de afiliados externos. Una de sus particularidades es la estructura de pago que ofrece a estos afiliados, quienes pueden quedarse entre el 80 % y el 85 % del rescate obtenido, lo que sirve como un fuerte incentivo para reclutar nuevos socios y aumentar su impacto global. Asimismo, Qilin ha desarrollado un portal web para sus afiliados donde pueden gestionar ataques y consultar los pagos recibidos, lo que profesionaliza su esquema operativo.

En cuanto a su afinidad, se han observado similitudes en las tácticas, técnicas y procedimientos (TTPs) entre Qilin y otros OCGs más conocidos como REvil o Conti, pero hasta el momento no hay pruebas concluyentes que los vinculen directamente entre sí. 

Asimismo, Qilin no ha hecho públicas inclinaciones políticas o geográficas evidentes. Sin embargo, hasta la fecha no han listado víctimas en Rusia o países pertenecientes a la Comunidad de Estados Independientes (CEI), lo que sugiere que evitan dichas regiones en su esquema operativo. Esta autolimitación es típica en grupos que pretenden evitar represalias por parte de las autoridades locales. Para ello, muchos incorporan mecanismos técnicos como la verificación del idioma del sistema operativo, el layout del teclado o la geolocalización por IP.

A diferencia de otros grupos que priorizan ciertas industrias, Qilin no mantiene un enfoque temático estricto, aunque ha mostrado especial interés por sectores como el de la salud, el manufacturero y el educativo.. De hecho, estudios recientes de finales de 2023 señalan que cerca del 28 % de sus víctimas pertenecen a empresas de Estados Unidos y Europa Occidental.

Su ransomware ha sido desarrollado en lenguajes como Rust o Go, tal y como apuntan los análisis de varias compañías de ciberseguridad. Esto les permite compilar su malware para distintas plataformas y, al mismo tiempo, complicar su análisis por parte de los investigadores. 

• Entre sus incidentes destacados cabe mencionar el ataque contra Synnovis, proveedor de servicios de análisis de sangre del NHS (National Health Service) en Reino Unido. En junio de 2024, este incidente paralizó los laboratorios y afectó a varios hospitales en Londres, provocando retrasos en la atención a los pacientes y la cancelación de citas médicas.

Los datos exfiltrados correspondían a aproximadamente 400 GB de información confidencial de Synnovis, que posteriormente fueron publicados en su sitio de filtraciones (leak site) y en su canal de Telegram. Entre los documentos filtrados figuraban nombres de pacientes, fechas de nacimiento, números del NHS y descripciones detalladas de análisis de sangre. Hasta la fecha, no hay confirmación oficial de que Synnovis haya realizado algún pago a Qilin.

Tras el incidente, Synnovis colaboró con el Centro Nacional de Ciberseguridad (NCSC) de Reino Unido para investigar el alcance del ataque y reforzar sus sistemas de seguridad. Según diferentes informes, los atacantes lograron el acceso a través de una vulnerabilidad en los sistemas externos que Synnovis empleaba para gestionar las muestras clínicas (CVE 2024 21762 y CVE 2024 55591). El NCSC emitió varias alertas a otras entidades del sector salud para que tomaran medidas proactivas contra ataques similares.

Si bien Qilin todavía está lejos de alcanzar el nivel de madurez y alcance de grupos del llamado Big Game Hunting cómo LockBit o BlackCat/AlphV, ha logrado mantener un impacto significativo gracias al elevado número de víctimas y a su evolución constante. Asimismo, su impacto se ve reforzado por la falta de un descifrador gratuito y por su práctica de exponer o vender los datos robados.