Qilin y Warlock están recurriendo a BYOVD (Bring Your Own Vulnerable Driver) para desactivar defensas a nivel kernel y dejar inoperativas más de 300 herramientas EDR. En Qilin destaca una cadena con DLL sideloading y un ‘EDR killer‘ en memoria, mientras que Warlock combina la técnica con explotación de Microsoft SharePoint Server sin parchear y un toolkit de post-compromiso orientado a persistencia, movimiento lateral y exfiltración.
La carrera entre atacantes y defensores se está desplazando cada vez más hacia el plano del kernel en Windows, donde muchos productos de seguridad basan parte de su visibilidad y capacidad de bloqueo. En ese contexto, el abuso de controladores legítimos pero vulnerables se consolida como un atajo eficaz para degradar o anular la telemetría y las protecciones, especialmente cuando el objetivo es impedir que un EDR detecte o frene acciones de post-explotación antes del cifrado.
En las intrusiones asociadas a Qilin, se ha observado una cadena por etapas que arranca con DLL sideloading mediante una biblioteca maliciosa denominada msimg32.dll. A partir de ahí se despliega un componente diseñado para sobrevivir a la inspección en modo usuario: incluye evasión basada en supresión de ETW (Event Tracing for Windows), neutralización de hooks en user mode y ofuscación del flujo de control para dificultar la instrumentación y el análisis. Un elemento especialmente relevante es que el payload principal, descrito como ‘EDR killer‘, se descifra y ejecuta completamente en memoria, reduciendo la huella en disco y complicando la respuesta basada únicamente en artefactos tradicionales.
El objetivo operativo de ese ‘EDR killer‘ es preparar el terreno para cargar controladores que permitan acciones agresivas desde el kernel. En primer lugar, se ha visto la carga de rwdrv.sys (identificado como un renombrado de ThrottleStop.sys) para habilitar acceso a memoria física y actuar como capa de interacción a bajo nivel. A continuación entra en juego hlpdrv.sys, empleado para terminar procesos vinculados a una lista amplia de controladores y componentes de seguridad: el alcance reportado supera los 300 drivers asociados a múltiples fabricantes de EDR. Antes de cargar el segundo driver, el componente malicioso realiza además operaciones para desregistrar callbacks de monitorización que suelen usar los EDR, reduciendo la probabilidad de que el producto de seguridad bloquee la terminación de procesos o detecte la manipulación.
Esta forma de BYOVD no aparece en el vacío: controladores como los anteriores ya se habían relacionado con campañas previas en las que la prioridad del atacante era desactivar defensas antes de ejecutar acciones ruidosas. En el caso de Qilin, el patrón encaja con una operativa de intrusión en la que el ransomware no necesariamente se ejecuta de inmediato, sino que se reserva para fases posteriores, cuando el atacante ya ha consolidado acceso y ha debilitado la detección.
Por su parte, Warlock también ha adoptado BYOVD como palanca para deshabilitar seguridad a nivel kernel, y lo combina con un vector de entrada asociado a Microsoft SharePoint Server sin parchear. En las campañas más recientes se ha observado el uso del driver legítimo pero vulnerable NSecKrnl.sys para terminar productos de seguridad, sustituyendo a otros controladores usados anteriormente. El conjunto de herramientas en el entorno comprometido refuerza la idea de una caja de herramientas madura para operaciones prolongadas: TightVNC para control persistente, PsExec para movimiento lateral, utilidades como RDP Patcher para habilitar sesiones concurrentes, Velociraptor como framework de C2, además de Visual Studio Code y Cloudflare Tunnel como mecanismos para operar y tunelizar tráfico. Para la fase de salida de datos, aparecen herramientas habituales como Rclone, junto con componentes tipo proxy/reverse proxy internos (por ejemplo Yuze) para pivotar dentro de la red.
La implicación defensiva es clara: confiar solo en detecciones en modo usuario es insuficiente cuando el adversario puede cargar un driver vulnerable para operar ‘por debajo’ del EDR. En entornos Windows resulta clave reforzar la gobernanza de drivers con políticas de allowlisting de editores explícitamente confiables, vigilar eventos de instalación/carga de controladores y generar alertas ante cargas anómalas (incluyendo nombres como rwdrv.sys, hlpdrv.sys o NSecKrnl.sys). A la vez, el patch management –especialmente en servidores expuestos como SharePoint— y la detección temprana de actividad de post-compromiso (antes de que llegue el cifrado) se vuelven determinantes. También conviene revisar el uso legítimo de herramientas dual-use como PsExec, Rclone o túneles tipo Cloudflare Tunnel y bloquearlas o condicionarlas cuando no exista una justificación operativa, porque su presencia suele indicar que el atacante ya está preparando el terreno para la fase final.
Más información
- Cisco Talos – Qilin EDR killer infection chain
https://blog.talosintelligence.com/qilin-edr-killer/ - The Hackers News – Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html
- SOC Defenders – Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools
https://www.socdefenders.ai/item/d1205c45-ff0f-4be0-9469-c3bad960856a
La entrada Qilin y Warlock adoptan BYOVD para tumbar más de 300 EDR desde el kernel se publicó primero en Una Al Día.
☞ El artículo completo original de Hispasec lo puedes ver aquí
