La operación de ransomware Qilin, también conocida como Phantom Mantis, se ha unido recientemente a otros actores de amenazas que están explotando activamente vulnerabilidades críticas en dispositivos Fortinet. Estas brechas permiten la omisión de autenticación y la ejecución remota de código malicioso, lo que convierte a los dispositivos afectados en objetivos ideales para campañas de ransomware automatizadas.
¿Qué es Qilin y cuál es su historial?
Qilin surgió en agosto de 2022 como parte de un modelo Ransomware-as-a-Service (RaaS) bajo el nombre inicial de «Agenda». Desde su aparición, ha sido responsable de más de 310 ataques documentados en su sitio de filtraciones en la dark web.
Entre sus víctimas se encuentran organizaciones de alto perfil, como:
-
Yangfeng, conglomerado del sector automotriz.
-
Lee Enterprises, importante editorial.
-
Court Services Victoria, en Australia.
-
Synnovis, proveedor de servicios de patología del Reino Unido.
El ataque contra Synnovis fue especialmente grave, ya que interrumpió servicios críticos en varios hospitales del NHS en Londres, obligando a cancelar cientos de operaciones y citas médicas programadas.
Explotación de vulnerabilidades en Fortinet
Según un informe reciente de la firma de inteligencia de amenazas PRODAFT, Qilin ha lanzado una nueva campaña dirigida contra dispositivos Fortinet aprovechando múltiples fallos de seguridad, entre ellos:
-
CVE-2024-21762
-
CVE-2024-55591
Estas vulnerabilidades afectan principalmente a dispositivos FortiGate, usados ampliamente en entornos corporativos como firewalls y soluciones de seguridad perimetral.
¿Cómo actúan estos fallos?
Las vulnerabilidades permiten a los atacantes:
-
Eludir mecanismos de autenticación.
-
Acceder sin permisos a sistemas FortiGate.
-
Ejecutar código remoto, abrir puertas traseras y desplegar malware.
PRODAFT ha indicado que estos ataques se llevaron a cabo entre mayo y junio de 2025, y que los objetivos iniciales han sido organizaciones en países de habla hispana. Sin embargo, la campaña podría expandirse globalmente, ya que el grupo actúa de manera oportunista, sin seguir un patrón fijo por industria o localización.
Ataques previos con las mismas vulnerabilidades
Una de las vulnerabilidades, CVE-2024-55591, ya había sido explotada por el operador de ransomware Mora_001, quien la utilizó para desplegar la cepa de ransomware SuperBlack. Esta variante ha sido asociada por los investigadores de Forescout con la notoria banda cibercriminal LockBit, una de las más activas en el ecosistema de ransomware.
Por su parte, CVE-2024-21762 fue parchada por Fortinet en febrero de 2025. Sin embargo, la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) incluyó rápidamente esta falla en su catálogo de vulnerabilidades activamente explotadas y ordenó a las agencias federales proteger sus dispositivos antes del 16 de febrero de 2025.
El problema de la falta de parches
Pese a las advertencias y actualizaciones, muchos dispositivos FortiGate siguen expuestos. Un mes después del parche, la Fundación Shadowserver reportó que más de 150.000 dispositivos aún eran vulnerables a CVE-2024-21762. Esta falta de acción ha permitido que múltiples actores de amenazas sigan explotando la brecha con éxito.
Fortinet, un objetivo frecuente
Las vulnerabilidades en Fortinet no son nuevas en el radar de los cibercriminales. Históricamente, estos dispositivos han sido blanco constante de campañas tanto de ransomware como de ciberespionaje patrocinado por Estados.
En febrero de 2025, Fortinet reveló que el grupo de amenazas chino Volt Typhoon había utilizado otras dos fallas —CVE-2022-42475 y CVE-2023-27997— en la VPN SSL de FortiOS para desplegar el malware Coathanger, una herramienta de acceso remoto (RAT) personalizada. Esta RAT fue usada previamente para infiltrarse en una red del Ministerio de Defensa de los Países Bajos, destacando la sofisticación de estos ataques y su orientación geopolítica.
¿Qué deben hacer las organizaciones?
La explotación de estas vulnerabilidades por parte del ransomware Qilin es una advertencia clara para todas las organizaciones que utilizan dispositivos Fortinet. Las siguientes medidas son esenciales:
-
Aplicar inmediatamente los parches de seguridad provistos por Fortinet para las vulnerabilidades CVE-2024-21762 y CVE-2024-55591.
-
Auditar los dispositivos expuestos y revisar logs de acceso en busca de actividad sospechosa.
-
Implementar monitoreo continuo y detección de intrusiones para identificar comportamientos anómalos.
-
Seguir buenas prácticas de ciberseguridad, incluyendo la segmentación de redes, autenticación multifactor (MFA) y backups regulares.
En fin, la campaña actual de ransomware de Qilin refuerza la importancia de mantener actualizados los dispositivos de seguridad empresarial. La falta de parcheo, combinada con la automatización de ataques y el uso de herramientas sofisticadas, ha permitido que esta operación comprometa redes críticas en cuestión de horas. Con las vulnerabilidades de Fortinet como punto de entrada, el ransomware sigue siendo una amenaza latente para infraestructuras de todo el mundo.
La seguridad preventiva y la vigilancia activa son ahora más esenciales que nunca.
Fuente: Bleeping Computer
