Se ha observado que los actores de amenazas asociados con las operaciones de ransomware Qilin y Warlock utilizan la técnica de traer su propio controlador vulnerable (BYOVD) para silenciar las herramientas de seguridad que se ejecutan en hosts comprometidos, según los hallazgos de Cisco Talos y Trend Micro.
Se ha descubierto que los ataques Qilin analizados por Talos implementan una DLL maliciosa llamada «msimg32.dll», que inicia una cadena de infección de varias etapas para deshabilitar las soluciones de detección y respuesta de endpoints (EDR). La DLL, lanzada mediante carga lateral de DLL, es capaz de terminar más de 300 controladores EDR de casi todos los proveedores de seguridad del mercado.
«La primera etapa consiste en un cargador PE responsable de preparar el entorno de ejecución para el componente asesino de EDR», dijeron los investigadores de Talos Takahiro Takeda y Holger Unterbrink. «Esta carga útil secundaria está integrada en el cargador de forma cifrada».
El cargador de DLL implementa una serie de técnicas para evadir la detección. Neutraliza los enlaces del modo de usuario, suprime los registros de eventos de Event Tracing for Windows (ETW) y toma medidas para ocultar el flujo de control y los patrones de invocación de API. Como resultado, permite que la carga útil principal del asesino de EDR se descifre, cargue y ejecute completamente en la memoria mientras pasa completamente desapercibida.
Una vez iniciado, el malware utiliza dos controladores:
- rwdrv.sys, una versión renombrada de «ThrottleStop.sys» que se utiliza para obtener acceso a la memoria física del sistema y actuar como una capa de acceso al hardware en modo kernel.
- hlpdrv.sys, para finalizar procesos asociados con más de 300 controladores EDR diferentes que pertenecen a diversas soluciones de seguridad.
Vale la pena señalar que ambos controladores se han utilizado como parte de ataques BYOVD llevados a cabo junto con intrusiones de ransomware Akira y Makop.
«Antes de cargar el segundo controlador, el componente asesino de EDR cancela el registro de las devoluciones de llamadas de monitoreo establecidas por el EDR, lo que garantiza que la terminación del proceso pueda continuar sin interferencias», dijo Talos. «Demuestra los trucos sofisticados que emplea el malware para eludir o desactivar por completo las funciones modernas de protección EDR en sistemas comprometidos».
Según las estadísticas compiladas por CYFIRMA y Cynet, Qilin se ha convertido en el grupo de ransomware más activo en los últimos meses, cobrándose cientos de víctimas. El grupo ha sido vinculado a 22 de los 134 incidentes de ransomware reportados en Japón en 2025, lo que representa el 16,4% de todos los ataques.
«Qilin se basa principalmente en credenciales robadas para obtener acceso inicial», dijo Talos. «Después de traspasar con éxito un entorno objetivo, el grupo pone un énfasis considerable en las actividades posteriores al compromiso, lo que le permite expandir metódicamente su control y maximizar el impacto».
El proveedor de ciberseguridad también señaló que la ejecución de ransomware se produjo en promedio aproximadamente seis días después del compromiso inicial, lo que destaca la necesidad de que las organizaciones detecten la actividad maliciosa en la etapa más temprana posible y eviten la implementación de ransomware.
La divulgación se produce mientras el grupo de ransomware Warlock (también conocido como Water Manaul) continúa explotando servidores Microsoft SharePoint sin parches, mientras actualiza su conjunto de herramientas para mejorar la persistencia, el movimiento lateral y la evasión de defensa. Esto incluye el uso de TightVNC para control persistente y un controlador NSec legítimo pero vulnerable («NSecKrnl.sys») en un ataque BYOVD para terminar los productos de seguridad en el nivel del kernel, reemplazando el controlador «googleApiUtil64.sys» utilizado en anteriores campañas.
También se observaron durante el curso del ataque de Warlock en enero de 2026 las siguientes herramientas:
- PsExec, para movimiento lateral.
- RDP Patcher, para facilitar sesiones RDP simultáneas.
- Velociraptor, para comando y control (C2).
- Visual Studio Code y Cloudflare Tunnel, para tunelizar las comunicaciones C2.
- Yuze, para la penetración de la intranet y el establecimiento de una conexión de proxy inverso al servidor C2 del atacante a través de HTTP (puerto 80), HTTPS (puerto 443) y DNS (puerto 53).
- Rclone, para exfiltración de datos.
Para contrarrestar las amenazas BYOVD, se recomienda permitir únicamente controladores firmados de editores de confianza explícita, monitorear los eventos de instalación de controladores y mantener un programa riguroso de administración de parches para actualizar el software de seguridad, específicamente aquellos con componentes basados en controladores que podrían explotarse.
«La dependencia de Warlock de controladores vulnerables para desactivar los controles de seguridad requiere una defensa de múltiples capas centrada en la integridad del kernel», dijo Trend Micro. «Por lo tanto, las organizaciones deben pasar de una protección básica de endpoints a aplicar una estricta gobernanza de los controladores y un monitoreo en tiempo real de las actividades a nivel del kernel».