En los últimos años, los grupos de Amenazas Persistentes Avanzadas (APT) han modificado sus tácticas, pasando de centrarse en los servidores de correo electrónico a dirigir sus ataques directamente contra las bases de datos corporativas. La compañía Palo Alto Networks, referente mundial en ciberseguridad, ha advertido de este cambio de tendencia tras identificar un nuevo grupo APT, denominado Phantom Taurus, vinculado a operaciones de ciberespionaje.
Según la empresa, esta nueva estrategia permite a los atacantes acceder de forma más rápida, discreta y masiva a información estructurada y sensible —como datos de clientes, registros financieros o documentos internos— sin necesidad de recurrir a campañas de phishing ni de infiltrarse en cuentas de correo electrónico.
El cambio de enfoque responde a varios factores. Por un lado, las mejoras en la seguridad del correo electrónico, como la autenticación multifactor, los filtros avanzados y la mayor concienciación frente al phishing, han elevado el nivel de protección en este ámbito. Por otro, las bases de datos empresariales suelen contar con menores medidas de defensa o supervisión, quedando en ocasiones fuera del foco de las estrategias de seguridad centradas en el endpoint, lo que las convierte en un objetivo atractivo para los ciberdelincuentes.
Phantom Taurus: del buzón al servidor de bases de datos
El caso reciente de Phantom Taurus ilustra claramente esta tendencia emergente. Identificado por el equipo de inteligencia de amenazas Unit 42 de Palo Alto Networks, Phantom Taurus es un grupo APT de ciberespionaje ligado a China que ha operado de forma sigilosa durante al menos dos años y medio, orientando sus ataques a organismos gubernamentales, embajadas, instituciones militares y empresas de telecomunicaciones en regiones de África, Oriente Medio y Asia, con el objetivo de obtener información estratégica de interés geopolítico y económico.
Entre 2023 y 2024, Phantom Taurus centró sus ataques en servidores de correo Exchange, donde desplegó los malware TunnelSpecter y SweetSpecter para exfiltrar buzones completos en busca de palabras clave sensibles. A comienzos de 2025, Palo Alto Networks detectó un cambio de táctica: el grupo comenzó a usar un script automatizado, mssq.bat, para conectarse a bases de datos Microsoft SQL Server con credenciales de administrador robadas, ejecutar consultas específicas y extraer la información obtenida en archivos CSV. Toda la operación se realizaba de forma remota y automatizada mediante WMI (Windows Management Instrumentation), borrando rastros tras cada sesión. Esto evidencia una evolución significativa respecto a sus anteriores campañas centradas en el correo electrónico hacia la búsqueda precisa directamente en las bases de datos.
Además, esta transición ha venido acompañada de otras señales de sofisticación. Según Unit 42, el grupo ha desarrollado NET-STAR, una suite de malware en .NET diseñada para infiltrarse en servidores web IIS y operar sin archivos en disco, ejecutando código y consultas directamente en memoria. Esta herramienta, junto con módulos como IIServerCore y AssemblyExecuter, le permite evadir defensas modernas y mantener persistencia en los sistemas comprometidos.
Blindar las “joyas de la corona”: una necesidad urgente
Si bien Phantom Taurus es un ejemplo reciente y revelador, no se trata de un caso aislado. Diversos informes de la industria de ciberseguridad han venido advirtiendo de tácticas similares por parte de otros actores APT. Winnti, otro notorio grupo de ciberespionaje vinculado a China, desarrolló en anteriormente un backdoor especial para Microsoft SQL Server apodado “skip-2.0”.
Este cambio en las tácticas de los grupos APT es un llamado de atención para todas las organizaciones. La seguridad no puede centrarse únicamente en proteger el perímetro y el correo electrónico; es imperativo fortalecer la defensa de los activos donde reside la información sensible. Para ello, Palo Alto Networks recomienda:
- Aplicar controles de acceso estrictos en las bases de datos, con contraseñas robustas y una correcta gestión de cuentas con privilegios de administrador.
- Monitorizar de forma activa las consultas y actividades inusuales en los sistemas, para detectar accesos o ejecuciones anómalas.
- Mantener las bases de datos actualizadas con los últimos parches de seguridad, corrigiendo vulnerabilidades explotables.
- Segmentar las redes internas para evitar que un atacante pueda moverse fácilmente desde un servidor comprometido hacia los de bases de datos.
- Priorizar la detección temprana, mediante soluciones capaces de identificar comportamientos anómalos, como Advanced Threat Prevention, que detecta exploits en tiempo real mediante machine learning, y las plataformas Cortex XDR y XSIAM, capaces de identificar y bloquear este tipo de cadenas de ataque.
