Una reciente investigación de la comunidad de ciberseguridad reveló la reactivación de una campaña de ciberespionaje conocida como “PassiveNeuron”, enfocada en comprometer servidores SQL de organizaciones gubernamentales, industriales y financieras.
La operación, identificada inicialmente en 2024, ha retomado actividad entre diciembre de 2024 y agosto de 2025, desplegando malware personalizado nunca antes documentado.
Dos implantes diseñados para el espionaje: Neursite y NeuralExecutor
El grupo detrás de PassiveNeuron utiliza dos piezas de malware sofisticadas:
Neursite, un backdoor modular en C++ capaz de usar múltiples protocolos (TCP, SSL, HTTP, HTTPS) para comunicarse con sus servidores de comando y control (C2).
NeuralExecutor, un cargador especializado en ejecutar payloads .NET, permitiendo a los atacantes ampliar sus capacidades dentro de los sistemas comprometidos.
Ambos implantes permiten la ejecución remota de comandos, gestión de procesos y movimiento lateral dentro de la red. Además, los atacantes también han desplegado Cobalt Strike, una herramienta legítima de pruebas de penetración frecuentemente utilizada de forma maliciosa.
Servidores SQL: la puerta de entrada
El vector de ataque más común identificado es la explotación de vulnerabilidades o inyecciones SQL en aplicaciones que utilizan Microsoft SQL Server.
En otros casos, los actores logran acceso mediante fuerza bruta de credenciales de administración o explotación de configuraciones inseguras, lo que les otorga control total del servidor.
Estas intrusiones permiten ejecutar comandos maliciosos, desplegar web shells y moverse lateralmente dentro de la infraestructura, empleando tácticas asociadas a grupos APT (Amenaza Persistente Avanzada).
¿Rusia o China? Las pistas de la atribución
En una primera etapa, los investigadores encontraron cadenas de texto en ruso dentro del código del malware, específicamente la frase “Супер обфускатор” (“Super Obfuscator”). Sin embargo, este detalle parece ser un intento deliberado de confundir a los analistas, una táctica de “falsa bandera” común en operaciones de ciberespionaje.
Al analizar nuevas muestras, se identificó un método característico usado por grupos de habla china: la técnica Dead Drop Resolver, que utiliza plataformas legítimas como GitHub para ocultar direcciones de servidores C2.
Por este patrón y otras coincidencias con campañas previas, la actividad ha sido atribuida con bajo nivel de confianza a un actor chino.
Un patrón global de espionaje digital
El resurgimiento de PassiveNeuron demuestra que los servidores SQL expuestos a internet siguen siendo objetivos de alto valor.
Al comprometer estos sistemas, los atacantes obtienen acceso privilegiado a redes corporativas, lo que les permite extraer información sensible y mantener una presencia prolongada.
El uso de técnicas avanzadas y malware modular indica un esfuerzo sostenido de espionaje con fines estratégicos y geopolíticos.
Cómo proteger la infraestructura
Para mitigar el riesgo frente a campañas como PassiveNeuron, se recomienda:
Restringir el acceso remoto a servidores SQL y mantenerlos actualizados.
Auditar las aplicaciones para evitar vulnerabilidades de inyección SQL.
Monitorear actividad anómala en procesos y tráfico de red.
Desplegar soluciones EDR y WAF con reglas específicas para SQL Server.
Reforzar la gestión de contraseñas y credenciales administrativas.
Implementar segmentación de red para aislar servidores críticos.
Capacitar al personal técnico sobre detección y respuesta ante intrusiones en bases de datos.
Conclusión
El caso PassiveNeuron refuerza una realidad: las amenazas persistentes avanzadas siguen evolucionando y apuntando a la columna vertebral de las organizaciones —sus servidores de datos—.
La clave está en anticiparse, fortalecer la seguridad en capas y convertir la visibilidad en defensa activa.
