Durante los meses de mayo y junio de 2025, se ha detectado una preocupante campaña de ataques de ransomware llevada a cabo por el grupo Qilin (también conocido como Phantom Mantis o Agenda), centrada en la explotación de vulnerabilidades críticas en dispositivos Fortinet, especialmente en firewalls FortiGate y soluciones FortiProxy. Este nuevo frente de amenazas pone en jaque la seguridad de miles de organizaciones, con un impacto particular en países de habla hispana, aunque con potencial de expansión global.
¿Quién es Qilin?
Qilin es una operación de Ransomware-as-a-Service (RaaS) surgida en 2022 bajo el nombre «Agenda» y conocida por la profesionalización de sus campañas y su agresiva actividad en la dark web. Hasta la fecha, se le atribuyen más de 310 víctimas, entre ellas empresas de sectores críticos como automoción, medios de comunicación, sanidad y administración pública. Uno de los casos más mediáticos fue el ataque a Synnovis, que afectó gravemente a hospitales del NHS en Londres, obligando a cancelar cientos de citas y operaciones.
Las vulnerabilidades explotadas
La campaña actual aprovecha varias vulnerabilidades graves en dispositivos Fortinet, entre las que destacan:
- CVE-2024-55591: Vulnerabilidad utilizada previamente como zero-day y vinculada tanto a ataques de Qilin como de otros grupos, incluido el despliegue del ransomware SuperBlack por parte de operadores relacionados con LockBit.
- CVE-2024-21762: Fallo parcheado en febrero de 2025, incluido en el catálogo de vulnerabilidades explotadas activamente de CISA y que sigue afectando a decenas de miles de dispositivos no actualizados.
Según datos de la Shadowserver Foundation, a mediados de marzo de 2025 todavía había cerca de 150.000 dispositivos Fortinet expuestos a la explotación de CVE-2024-21762.
Además, estas campañas recuerdan precedentes recientes, como los ataques del grupo chino Volt Typhoon, que utilizaron fallos en el VPN SSL de FortiOS para desplegar puertas traseras (RAT) en redes gubernamentales y militares europeas.
Impacto y foco en países de habla hispana
Si bien la campaña de Qilin mantiene una estrategia oportunista, los últimos análisis muestran un foco especial en organizaciones de países de habla hispana, según la inteligencia compartida por PRODAFT. No obstante, se espera que el alcance de estos ataques se extienda rápidamente a nivel mundial, aprovechando la inercia de la explotación masiva y automatizada de vulnerabilidades.
Entre los sectores afectados se encuentran grandes empresas, organismos públicos, entidades sanitarias y proveedores de servicios críticos, lo que subraya el potencial disruptivo de este tipo de ransomware.
Por qué Fortinet sigue siendo objetivo de los ciberdelincuentes
Fortinet es uno de los proveedores líderes de firewalls y soluciones de ciberseguridad perimetral a nivel global. La popularidad y despliegue masivo de sus dispositivos los convierte en objetivo prioritario de grupos de ransomware y de ciberespionaje. Además, los atacantes aprovechan la tardanza en la aplicación de parches críticos y las configuraciones deficientes para ganar acceso inicial y escalar privilegios.
Recomendaciones de seguridad
- Actualización inmediata: Aplicar sin demora los últimos parches de seguridad para FortiGate, FortiOS y FortiProxy, especialmente para CVE-2024-21762 y CVE-2024-55591.
- Monitorización de accesos y logs: Revisar los registros en busca de actividad inusual o indicios de explotación reciente.
- Segmentación y control de accesos: Limitar el acceso administrativo a los dispositivos y segmentar la red para dificultar el movimiento lateral en caso de compromiso.
- Copias de seguridad: Mantener backups actualizados y desconectados de la red principal para facilitar la recuperación ante incidentes de ransomware.
- Planes de respuesta: Tener definido un plan de respuesta ante incidentes y realizar simulacros para minimizar el impacto en caso de ataque.
Conclusión
La campaña de ransomware Qilin es un recordatorio más de la importancia de mantener actualizadas las infraestructuras críticas y de vigilar de cerca las vulnerabilidades de los dispositivos de seguridad perimetral. La rápida explotación de fallos por parte de grupos avanzados, sumada al foco en sectores y países concretos, obliga a extremar las precauciones y a apostar por una ciberseguridad proactiva y alineada con las mejores prácticas.
Referencias: bleeping computer, Catalyst, arcticwolf
