Actores de amenazas asociados con las operaciones de ransomware **Qilin** y **Warlock** han sido observados utilizando la técnica bring your own vulnerable driver (**BYOVD**) para silenciar herramientas de seguridad que se ejecutan en hosts comprometidos, según hallazgos de **Cisco Talos** y **Trend Micro**. ### El Asesino de EDR de Qilin Los ataques de **Qilin** analizados por **Talos** han desplegado una DLL maliciosa llamada "msimg32.dll", que inicia una cadena de infección de múltiples etapas para deshabilitar las soluciones de detección y respuesta de endpoints (EDR). La DLL, lanzada a través de DLL side-loading, es capaz de terminar más de 300 drivers de EDR de casi todos los proveedores de seguridad del mercado. "La primera etapa consiste en un cargador PE responsable de preparar el entorno de ejecución para el componente asesino de EDR", dijeron los investigadores de **Talos** Takahiro Takeda y Holger Unterbrink. "Este payload secundario está incrustado dentro del cargador en forma cifrada". El cargador de DLL implementa una serie de técnicas para evadir la detección. Neutraliza los hooks en modo de usuario, suprime los registros de eventos de Event Tracing for Windows (ETW) y toma medidas para ocultar el flujo de control y los patrones de invocación de API. Como resultado, permite que el payload principal del asesino de EDR se descifre, cargue y ejecute completamente en memoria, pasando completamente desapercibido. Una vez lanzado, el malware utiliza dos drivers: * rwdrv.sys, una versión renombrada de "ThrottleStop.sys" que se utiliza para obtener acceso a la memoria física del sistema y actuar como una capa de acceso a hardware en modo kernel. * hlpdrv.sys, para terminar procesos asociados con más de 300 drivers de EDR diferentes que pertenecen a varias soluciones de seguridad. Cabe destacar que ambos drivers se han utilizado como parte de ataques **BYOVD** llevados a cabo en conjunto con intrusiones de ransomware **Akira** y **Makop**. "Antes de cargar el segundo driver, el componente asesino de EDR anula el registro de las callbacks de monitoreo establecidas por el EDR, asegurando que la terminación de procesos pueda proceder sin interferencia", dijo **Talos**. "Demuestra los trucos sofisticados que emplea el malware para eludir o deshabilitar completamente las características modernas de protección EDR en sistemas comprometidos". Según estadísticas compiladas por **CYFIRMA** y **Cynet**, **Qilin** ha surgido como el grupo de ransomware más activo en los últimos meses, reclamando cientos de víctimas. El grupo ha sido vinculado a 22 de los 134 incidentes de ransomware reportados en Japón en 2025, lo que representa el 16.4% de todos los ataques.  "**Qilin** se basa principalmente en credenciales robadas para obtener acceso inicial", dijo **Talos**. "Después de violar con éxito un entorno objetivo, el grupo pone un énfasis considerable en las actividades post-compromiso, lo que le permite expandir metódicamente su control y maximizar el impacto". El proveedor de ciberseguridad también señaló que la ejecución del ransomware ocurría en promedio aproximadamente seis días después del compromiso inicial, lo que resalta la necesidad de que las organizaciones detecten la actividad maliciosa en la etapa más temprana posible y prevengan el despliegue de ransomware.  ### Técnicas Evasivas de Warlock La divulgación se produce mientras el grupo de ransomware **Warlock** (también conocido como Water Manaul) continúa explotando servidores **Microsoft** SharePoint sin parches, mientras actualiza su conjunto de herramientas para mejorar la persistencia, el movimiento lateral y la evasión de la defensa. Esto incluye el uso de **TightVNC** para control persistente y un driver legítimo pero vulnerable de **NSec** ("NSecKrnl.sys") en un ataque **BYOVD** para terminar productos de seguridad a nivel de kernel, reemplazando el driver "googleApiUtil64.sys" utilizado en campañas anteriores. También se observaron durante el transcurso del ataque de **Warlock** en enero de 2026 las siguientes herramientas: * **PsExec**, para movimiento lateral. * RDP Patcher, para facilitar sesiones RDP concurrentes. * **Velociraptor**, para command-and-control (C2). * Visual Studio Code y **Cloudflare** Tunnel, para tunelizar comunicaciones C2. * **Yuze**, para penetración en la intranet y establecimiento de una conexión de proxy inverso al servidor C2 del atacante a través de HTTP (puerto 80), HTTPS (puerto 443) y DNS (puerto 53). * Rclone, para exfiltración de datos. ### Estrategias de Mitigación Para contrarrestar las amenazas **BYOVD**, se recomienda permitir solo drivers firmados de publicadores explícitamente confiables, monitorear los eventos de instalación de drivers y mantener un programa riguroso de gestión de parches para actualizar el software de seguridad, específicamente aquellos con componentes basados en drivers que podrían ser explotados. "La dependencia de **Warlock** de drivers vulnerables para deshabilitar los controles de seguridad requiere una defensa multicapa centrada en la integridad del kernel", dijo **Trend Micro**. "Por lo tanto, las organizaciones deben actualizarse desde la protección básica de endpoints hasta la aplicación de una gobernanza estricta de drivers y el monitoreo en tiempo real de las actividades a nivel de kernel".