Se ha detectado una elaborada campaña de ciberataques contra servidores Microsoft SQL que presentan vulnerabilidades. El objetivo de esta actividad maliciosa es la instalación de utilidades de acceso remoto y software malicioso para la elevación de privilegios.
Investigadores de seguridad han constatado que los responsables de la amenaza están explotando específicamente configuraciones inseguras de MS-SQL para desplegar Ammyy Admin, una aplicación legítima de escritorio remoto susceptible de uso indebido para accesos no autorizados, conjuntamente con una herramienta de escalada de privilegios identificada como PetitPotato.
Los atacantes utilizan estos servidores comprometidos para establecer una presencia persistente en las redes de las víctimas, lo que podría facilitar la sustracción de información y el movimiento lateral dentro de la infraestructura de la organización afectada.
El ataque comienza con la identificación de servidores MS-SQL con configuraciones de seguridad débiles, incluidas credenciales predeterminadas o puertos de administración expuestos.
Una vez que obtienen el acceso, los actores de amenazas ejecutan una serie de comandos para recopilar información del sistema, lo que les permite adaptar su enfoque al entorno objetivo.
Luego, los atacantes utilizan utilidades de línea de comandos para descargar e implementar sus cargas maliciosas, lo que demuestra un nivel preocupante de sofisticación operativa y sugiere un grupo de amenazas bien organizado.
Los investigadores de Broadcom identificaron que la frecuencia de estos ataques ha ido aumentando desde principios de abril de 2025, con objetivos que abarcan múltiples industrias, incluidos los sectores financiero, sanitario y manufacturero.
Los investigadores señalan que la campaña tiene similitudes con ataques anteriores atribuidos a actores de amenazas con motivación financiera, aunque la atribución definitiva sigue siendo un desafío.
Un aspecto particularmente preocupante de esta campaña es el enfoque de los atacantes para mantener el acceso.
Después del compromiso inicial, los actores de amenazas habilitan los servicios de Protocolo de escritorio remoto (RDP) en los servidores comprometidos, lo que les permite métodos de acceso alternativos en caso de que se descubra su punto de entrada principal.
Además, crean nuevas cuentas de usuario con privilegios administrativos, estableciendo efectivamente puertas traseras que pueden persistir incluso si se detecta y elimina el malware inicial.
Esta estrategia de persistencia de múltiples capas demuestra la naturaleza sofisticada de la campaña y resalta la importancia de un monitoreo de seguridad integral más allá de la simple detección de malware.
