Repunte de ataques APT contra bases de datos corporativas
- Endpoint
Los grupos de ciberespionaje están cambiando su foco a las bases de datos, en busca de información estructurada y de alto valor, como registros financieros o listados de clientes. Phantom Taurus ejemplifica esta evolución, al pasar de comprometer servidores de correo a ejecutar consultas directas en bases de datos SQL.
Se ha detectado un cambio significativo en las tácticas de los grupos de Amenazas Persistentes Avanzadas (APT). En lugar de comprometer servidores de correo electrónico, los atacantes están dirigiendo sus esfuerzos hacia bases de datos corporativas, donde se almacena información estructurada y de alto valor, como registros financieros o listados de clientes.
El grupo Phantom Taurus, identificado por el equipo de inteligencia Unit 42 de Palo Alto Networks, ejemplifica esta evolución. Tras años centrando sus ataques en servidores Exchange mediante malware como TunnelSpecter y SweetSpecter, en 2025 pasó a emplear scripts automatizados para conectarse a bases de datos Microsoft SQL Server con credenciales robadas, ejecutar consultas específicas y extraer datos en archivos CSV. Todo ello de forma remota y con técnicas de borrado de rastros, lo que incrementa la dificultad de detección.
Además de este cambio de táctica, Phantom Taurus ha desarrollado NET-STAR, una suite de malware en .NET capaz de infiltrarse en servidores web IIS y ejecutar código directamente en memoria, evitando dejar huellas en disco. Estas capacidades permiten al grupo mantener persistencia y evadir defensas modernas.
La compañía subraya que este tipo de ataques no son aislados. Otros grupos, como Winnti, ya habían diseñado herramientas específicas para explotar vulnerabilidades en Microsoft SQL Server, lo que confirma una tendencia creciente en el sector del ciberespionaje.
Blindar las “joyas de la corona”
En vista de este repunte de amenazas, las organizaciones no pueden limitar su estrategia de seguridad al correo electrónico o al perímetro de red. Es imprescindible reforzar la protección de las bases de datos, segmentar las redes internas y desplegar soluciones avanzadas de ciberseguridad que permitan detectar y frenar este tipo de intrusiones.
Las bases de datos corporativas son las “joyas de la corona” de cualquier organización, y su defensa debe convertirse en una prioridad estratégica para evitar que actores maliciosos accedan a información crítica de negocio.
