¡Activa tu seguridad hoy! Contrata nuestro servicio de Pentesting Ágil.
Contrata Agile Ahora

El grupo de ransomware Qilin explota vulnerabilidades en Fortinet

Por /

La operación de ransomware Qilin —también conocida como Phantom Mantis— ha comenzado a explotar activamente las vulnerabilidades críticas CVE-2024-55591 y CVE-2024-21762 en dispositivos Fortinet, afectando tanto a firewalls FortiGate como a FortiProxy. Estas fallas permiten ejecución remota de código y elusión de autenticaciones, y han sido ya aprovechadas en ataques parcialmente automatizados contra organizaciones, especialmente en países hispanohablantes.
Repetimos: Qilin y Fortinet están en el centro de los ataques más críticos del momento.

Qilin: un ransomware cada vez más sofisticado

Qilin, que opera como Ransomware-as-a-Service (RaaS) desde 2022 (anteriormente conocido como «Agenda»), ha comprometido más de 310 víctimas, incluyendo infraestructuras críticas como el NHS británico. La campaña actual, activa desde mayo de 2025, ha escalado rápidamente gracias a un flujo de ataque automatizado que solo requiere selección manual de víctimas.

CVE-2024-55591 y CVE-2024-21762: dos vectores críticos

  • CVE-2024-55591 ya era explotada como zero-day desde noviembre de 2024 por actores como Mora_001, afiliado a LockBit y SuperBlack.
  • CVE-2024-21762, incluida en el catálogo KEV de CISA, sigue afectando a miles de dispositivos expuestos a nivel mundial.

Persistencia y evasión del grupo de ransomware

Fortinet ha alertado sobre persistencia post-compromiso mediante archivos maliciosos que sobreviven incluso tras aplicar parches.
El malware de Qilin, desarrollado en Golang y Rust, utiliza técnicas como:

  • Inyección de procesos
  • Tareas programadas
  • Reinicio en modo seguro

Estas capacidades dificultan enormemente la detección y la respuesta efectiva.

Fortinet: un objetivo histórico

Fortinet ha sido un blanco frecuente en campañas de espionaje y ransomware. Casos como el de Volt Typhoon, que explotó vulnerabilidades en FortiOS SSL VPN contra redes militares, refuerzan la gravedad de este vector de ataque.

Recomendaciones de Amber Solutions

Desde Amber Solutions, recomendamos una defensa integral para anticiparse a campañas como la de Qilin:

  • Penetration Testing para descubrir vectores reales de entrada.
  • Threat Hunting para detectar persistencia o actividad anómala.
  • Respuesta Forense para eliminar artefactos maliciosos que resistan el parcheo.
  • CTI personalizado para anticipar tácticas y actores específicos

Entradas relacionadas

Scroll al inicio