X-twitter
  • Seguridad
  • 3 minutos de lectura

Palo Alto Networks alerta del auge de los ataques APT dirigidos a bases de datos corporativas

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

En los últimos años, los grupos de Amenazas Persistentes Avanzadas (APT) han modificado su forma de actuar, dejando de centrarse en los servidores de correo electrónico para dirigir sus ataques hacia las bases de datos empresariales. Según un informe de Palo Alto Networks, compañía líder en ciberseguridad, cada vez más actores maliciosos están adoptando esta estrategia, detectada recientemente en un nuevo grupo identificado como Phantom Taurus, vinculado a actividades de ciberespionaje.

Este cambio táctico les permite obtener grandes volúmenes de información estructurada —como historiales financieros, listados de clientes o registros internos— de manera más rápida y silenciosa, sin depender de campañas de phishing o de accesos a correos corporativos.

Las causas de esta evolución son claras. Por un lado, las mejoras en la protección del correo electrónico, gracias a la autenticación multifactor, los filtros antiphishing y la formación de los empleados, han hecho más difícil vulnerar este canal. Por otro, las bases de datos corporativas suelen quedar menos protegidas o vigiladas, al no ocupar un papel central en muchas estrategias de ciberseguridad, lo que las convierte en un objetivo preferente para los atacantes más sofisticados.

Phantom Taurus: del buzón al servidor de bases de datos

El caso reciente de Phantom Taurus ilustra claramente esta tendencia emergente. Identificado por el equipo de inteligencia de amenazas Unit 42 de Palo Alto Networks, Phantom Taurus es un grupo APT de ciberespionaje ligado a China que ha operado de forma sigilosa durante al menos dos años y medio, orientando sus ataques a organismos gubernamentales, embajadas, instituciones militares y empresas de telecomunicaciones en regiones de África, Oriente Medio y Asia, con el objetivo de obtener información estratégica de interés geopolítico y económico.

Entre 2023 y 2024, Phantom Taurus centró sus ataques en servidores de correo Exchange, donde desplegó los malware TunnelSpecter y SweetSpecter para exfiltrar buzones completos en busca de palabras clave sensibles. A comienzos de 2025, Palo Alto Networks detectó un cambio de táctica: el grupo comenzó a usar un script automatizado, mssq.bat, para conectarse a bases de datos Microsoft SQL Server con credenciales de administrador robadas, ejecutar consultas específicas y extraer la información obtenida en archivos CSV. Toda la operación se realizaba de forma remota y automatizada mediante WMI (Windows Management Instrumentation), borrando rastros tras cada sesión. Esto evidencia una evolución significativa respecto a sus anteriores campañas centradas en el correo electrónico hacia la búsqueda precisa directamente en las bases de datos.

Además, esta transición ha venido acompañada de otras señales de sofisticación. Según Unit 42, el grupo ha desarrollado NET-STAR, una suite de malware en .NET diseñada para infiltrarse en servidores web IIS y operar sin archivos en disco, ejecutando código y consultas directamente en memoria. Esta herramienta, junto con módulos como IIServerCore y AssemblyExecuter, le permite evadir defensas modernas y mantener persistencia en los sistemas comprometidos.

Blindar las “joyas de la corona”: una necesidad urgente

Si bien Phantom Taurus es un ejemplo reciente y revelador, no se trata de un caso aislado. Diversos informes de la industria de ciberseguridad han venido advirtiendo de tácticas similares por parte de otros actores APT. Winnti, otro notorio grupo de ciberespionaje vinculado a China, desarrolló en anteriormente un backdoor especial para Microsoft SQL Server apodado “skip-2.0”.

Este cambio en las tácticas de los grupos APT es un llamado de atención para todas las organizaciones. La seguridad no puede centrarse únicamente en proteger el perímetro y el correo electrónico; es imperativo fortalecer la defensa de los activos donde reside la información sensible. Para ello, Palo Alto Networks recomienda: 

  • Aplicar controles de acceso estrictos en las bases de datos, con contraseñas robustas y una correcta gestión de cuentas con privilegios de administrador.
  • Monitorizar de forma activa las consultas y actividades inusuales en los sistemas, para detectar accesos o ejecuciones anómalas.
  • Mantener las bases de datos actualizadas con los últimos parches de seguridad, corrigiendo vulnerabilidades explotables.
  • Segmentar las redes internas para evitar que un atacante pueda moverse fácilmente desde un servidor comprometido hacia los de bases de datos.
  • Priorizar la detección temprana, mediante soluciones capaces de identificar comportamientos anómalos, como Advanced Threat Prevention, que detecta exploits en tiempo real mediante machine learning, y las plataformas Cortex XDR y XSIAM, capaces de identificar y bloquear este tipo de cadenas de ataque.
Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Angel

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

OpenAI pone a Canadá en el mapa de “Stargate”: evalúa capacidad de centros de datos y alianzas locales para una IA soberana

Medusa aterriza en Marsella: arranca el despliegue del nuevo “corredor” submarino entre Europa y el norte de África

Synology enfada a su comunidad: el EULA de DSM pide arbitraje forzoso y renuncia a demandas colectivas (y algunos paquetes “desaparecen” en 7.3)

Tesla simplifica su gama con ‘Standard’: una pausa estratégica antes del siguiente salto

×