El grupo de ransomware Qilin está desplegando una cadena de infección sofisticada y de múltiples etapas a través de una DLL maliciosa msimg32.dll que puede desactivar más de 300 controladores de detección y respuesta en endpoints (EDR) de prácticamente todos los principales proveedores de seguridad. A medida que las organizaciones dependen cada vez más de las soluciones EDR, que ofrecen una visibilidad conductual mucho mayor que los antivirus tradicionales, los actores de amenazas han adaptado sus tácticas desarrollando asesinos de EDR 

El grupo de ransomware Qilin está desplegando una cadena de infección sofisticada y de múltiples etapas a través de un msimg32.dll malicioso que puede desactivar más de 300 controladores de detección y respuesta en endpoints (EDR) de prácticamente todos los principales proveedores de seguridad.

A medida que las organizaciones dependen cada vez más de las soluciones EDR, que ofrecen una visibilidad conductual mucho mayor que los antivirus tradicionales, los actores de amenazas se han adaptado armando "EDR killers" como componente central de su cadena de ataque.

Al desactivar la recopilación de telemetría en la creación de procesos, la actividad de memoria y el comportamiento de la red, los atacantes pueden operar sin ser detectados el tiempo suficiente para desplegar su carga de ransomware.

Qilin, también rastreado como Agenda, Gold Feather y Water Galura, ha reclamado más de 40 víctimas al mes y se considera una de las operaciones de ransomware como servicio (RaaS) más activas.

Carga lateral de DLL como punto de entrada

Investigadores de Cisco Talos descubrieron que el ataque comienza cuando una aplicación legítima, como FoxitPDFReader.exe, carga lateralmente el msimg32.dll malicioso en lugar de la biblioteca genuina de Windows.

Para evitar sospechas inmediatas, la DLL falsa redirige todas las llamadas API esperadas al C:\Windows\System32\msimg32.dll real, preservando el comportamiento normal de la aplicación mientras activa su lógica maliciosa directamente desde la función DllMain.

Incrustado dentro de la DLL hay un carga útil de "EDR killer" cifrada que pasa por tres etapas de carga antes de que el componente final se ejecute completamente en memoria, sin tocar el disco en su forma descifrada.

El cargador emplea una serie de técnicas avanzadas de anti-detección diseñadas específicamente para cegar a los productos EDR antes de que puedan generar una alerta:

• Ofuscación de flujo de control basada en SEH/VEH — El Manejo Estructurado de Excepciones (SEH) y el Manejo Vectorizado de Excepciones (VEH) se utilizan para ocultar patrones de invocación de API y transferir la ejecución de manera encubierta entre etapas.
• Supresión de ETW — El Seguimiento de Eventos para Windows (ETW) se neutraliza en tiempo de ejecución, privando a los defensores de la telemetría necesaria para la detección conductual.
• Bypass de syscall con Halo’s Gate — El cargador escanea ntdll.dll tanto hacia adelante como hacia atrás para localizar stubs de syscall limpios y no modificados. Luego reutiliza esos stubs para invocar llamadas al sistema deseadas, evitando las APIs interceptadas por EDR sin modificar ningún código intervenido.
• Manipulación de objetos del kernel — El cargador sobrescribe la sección .mrdata de ntdll.dll —que contiene el puntero de devolución de llamada del despachador de excepciones— para redirigir el manejo de excepciones a su propia rutina personalizada.
• Medidas anti-depuración — El malware verifica la presencia de puntos de interrupción en KiUserExceptionDispatcher y provoca deliberadamente el cierre del proceso si detecta alguno.

El cargador también implementa geo-cercado, terminando la ejecución si la configuración regional del sistema coincide con algún país postsoviético, una lista de exclusión deliberada que refleja patrones observados en otras operaciones de ransomware vinculadas a Rusia.

Los controladores "EDR killer" que hacen el trabajo sucio

Una vez que el cargador de múltiples etapas entrega su carga final (Etapa 4), el PE del "EDR killer" carga dos controladores auxiliares a nivel de kernel:

• rwdrv.sys — Una versión renombrada de ThrottleStop.sys, legítimamente firmada por TechPowerUp LLC y utilizada en herramientas como GPU-Z. A pesar de su origen benigno, el controlador expone potentes IOCTLs para lectura/escritura de memoria física, acceso a MSR y configuración de PCI, explotados aquí para manipular estructuras del kernel directamente sin pasar por la memoria virtual protegida.
• hlpdrv.sys — Usado exclusivamente para terminar procesos EDR protegidos mediante el código IOCTL 0x2222008, eludiendo los mecanismos de protección de procesos de Windows.

El "EDR killer" itera a través de una lista codificada de más de 300 nombres de controladores EDR, utilizando escrituras en memoria física a través de rwdrv.sys para desregistrar callbacks de monitoreo de creación de procesos, creación de hilos y carga de imágenes, desactivando la visibilidad de EDR a nivel de kernel.

Notablemente, el malware sobrescribe temporalmente el callback CiValidateImageHeader con una función que siempre devuelve true, desactivando la aplicación de la Integridad del Código mientras avanza el ataque, para luego restaurarlo y reducir rastros forenses.

Cisco Talos señala que, aunque estas técnicas no son del todo nuevas, siguen siendo altamente efectivas y deberían ser detectables por pilas de defensa multicapa correctamente configuradas.

La campaña demuestra que atacar la capa de defensa en sí misma antes de desplegar el ransomware es ahora una fase operativa estándar para grupos sofisticados de ransomware como Qilin.

Se recomienda encarecidamente a las organizaciones que monitoricen actividades sospechosas de carga lateral de DLL, instalaciones inesperadas de controladores (rwdrv.sys, hlpdrv.sys) y cualquier intento de escritura en memoria física desde procesos en modo usuario. Depender de un único producto de seguridad ya no es suficiente contra adversarios diseñados específicamente para neutralizarlo.