Los ciberdelincuentes no olvidan un objetivo vulnerable; si dejaste tu base de datos expuesta hace años, es probable que ya estén de vuelta con nuevas herramientas.
La infraestructura de bases de datos corporativas sigue siendo uno de los blancos favoritos para las campañas de intrusión automatizada. Este 24 de marzo de 2026, se informa que un actor de amenazas persistente, rastreado como Larva-26002, está atacando continuamente servidores Microsoft SQL (MS-SQL) mal administrados para desplegar un nuevo malware de escaneo llamado ICE Cloud Client.
De Ransomware a Escáneres de Red
Esta campaña específica ha estado activa desde al menos enero de 2024 y demuestra cómo los criminales evolucionan y actualizan su arsenal con cada ciclo. Lo que comenzó como una operación agresiva de secuestro de datos ha mutado hacia el escaneo masivo de infraestructura:
- En enero de 2024, el grupo se dio a conocer desplegando el ransomware Trigona y Mimic contra servidores MS-SQL expuestos a Internet que tenían contraseñas débiles.
- Durante esa fase, los atacantes explotaron una utilidad legítima de MS-SQL, el Programa de Copia Masiva (BCP), para extraer y descargar el malware directamente en los equipos comprometidos.
- Para 2025, el grupo cambió sus tácticas temporalmente y comenzó a utilizar un escáner programado en el lenguaje Rust.
La Ola de Ataques de 2026 y el ‘ICE Cloud’
Analistas de seguridad han identificado una nueva ola de ataques este año, destacando un detalle sumamente preocupante: este actor de amenazas está logrando comprometer exactamente los mismos servidores MS-SQL que ya había atacado en años anteriores. Esto indica una falta crítica de remediación, auditoría y parcheo por parte de los administradores afectados.
En esta ocasión, los atacantes han abandonado Rust y están desplegando ICE Cloud, un malware de escaneo reescrito completamente en el lenguaje de programación Go. Un detalle técnico clave que permitió a los investigadores vincular directamente esta campaña actual con los ataques de ransomware Mimic de 2024 es que las cadenas binarias (strings) incrustadas dentro del código de ICE Cloud están escritas en turco. Este patrón subraya una estrategia deliberada y a largo plazo contra servidores de bases de datos que permanecen vulnerables.
Para detener esta cadena de compromisos, es imperativo que los administradores de bases de datos configuren contraseñas robustas y difíciles de adivinar para todas las cuentas de MS-SQL, y las actualicen regularmente para mitigar los ataques de fuerza bruta. Además, cualquier servidor MS-SQL que deba tener salida a Internet debe estar protegido estrictamente detrás de un firewall configurado para permitir únicamente conexiones autorizadas y filtradas.
