Campaña de FamousSparrow contra el sector oil & gas de Azerbaiyán

Foto del autor

CyberSecureFox Editorial Team

Según los investigadores de Bitdefender, el grupo chino de ciberespionaje FamousSparrow llevó a cabo una operación de múltiples etapas contra una empresa petrolera y gasista no revelada de Azerbaiyán en el periodo comprendido entre finales de diciembre de 2025 y finales de febrero de 2026. Los atacantes penetraron tres veces en la infraestructura de la víctima a través del mismo servidor Microsoft Exchange vulnerable, utilizando cada vez nuevas variantes de malware: los backdoors Deed RAT y TernDoor. La campaña pone de manifiesto un problema crítico: una remediación incompleta de las consecuencias del incidente permite que el adversario regrese repetidamente a través del mismo punto de entrada. Las organizaciones del sector energético que utilizan Exchange deben comprobar de inmediato el estado de los parches y rotar las credenciales comprometidas.

Cronología y anatomía técnica del ataque

Según se indica en el informe de Bitdefender, la campaña constó de tres oleadas diferenciadas, cada una de las cuales explotaba el mismo punto de entrada: un servidor Microsoft Exchange vulnerable. Se presume que para obtener el acceso inicial se utilizó la cadena de exploits ProxyNotShell.

Primera oleada — 25 de diciembre de 2025

Tras obtener acceso, los atacantes desplegaron web shells para mantener la persistencia en la infraestructura y, a continuación, entregaron Deed RAT (también conocido como Snappybee), un backdoor sucesor de ShadowPad utilizado por varios grupos de origen chino. Para cargar Deed RAT se empleó una técnica avanzada de sustitución de DLL utilizando el ejecutable legítimo LogMeIn Hamachi.

Característica técnica clave: a diferencia de la sustitución estándar de DLL, en la que la biblioteca maliciosa simplemente reemplaza a la legítima, en este caso los atacantes redefinieron dos funciones exportadas concretas dentro de la biblioteca maliciosa. Esto creó un disparador de dos etapas, en el que el cargador de Deed RAT se activaba a través del flujo normal de control de la aplicación huésped, lo que dificulta significativamente su detección por parte de las soluciones de seguridad.

En esta fase también se observó movimiento lateral en la red con el objetivo de ampliar el acceso y crear puntos de presencia de reserva.

Segunda oleada — finales de enero – principios de febrero de 2026

Aproximadamente un mes después, los atacantes regresaron a través del mismo servidor Exchange e intentaron desplegar el backdoor TernDoor, un malware detectado anteriormente en ataques contra infraestructuras de telecomunicaciones de Sudamérica desde 2024. Para su entrega se utilizó el cargador Mofu Loader y la técnica de sustitución de DLL. Según los investigadores, este intento no tuvo éxito.

Tercera oleada — finales de febrero de 2026

En la tercera oleada, los atacantes volvieron a recurrir a Deed RAT, pero en una versión modificada. Este artefacto utilizaba el dominio sentinelonepro[.]com para comunicarse con el servidor de mando y control, una táctica característica que disfraza la infraestructura C2 como si perteneciera al producto de seguridad legítimo SentinelOne.

Contexto geopolítico y motivación

La elección del objetivo no es casual. Como señalan los analistas de Bitdefender, el papel de Azerbaiyán en la seguridad energética de Europa aumentó considerablemente tras la expiración en 2024 del acuerdo ruso-ucraniano sobre el tránsito de gas y las interrupciones del tráfico marítimo en el estrecho de Ormuz en 2026. Un ataque contra el sector petrolero y gasista de un país que se ha convertido en proveedor alternativo de recursos energéticos para la UE encaja en la lógica de la inteligencia estratégica.

La campaña amplía la victimología conocida de FamousSparrow a una nueva región. Anteriormente, este grupo, también rastreado como UAT-9244, había sido observado en ataques contra el sector hotelero, organizaciones gubernamentales y estructuras internacionales. Debe tenerse en cuenta que la atribución se basa en la evaluación de un único proveedor y no ha sido confirmada por fuentes independientes.

Evaluación del impacto

La campaña representa una amenaza principalmente para:

  • El sector energético de Azerbaiyán y de los países de la región del Caspio implicados en el suministro de hidrocarburos a Europa
  • Organizaciones con servidores Exchange sin parchear, especialmente vulnerables a la explotación de ProxyNotShell
  • Empresas de telecomunicaciones, dado que TernDoor se ha utilizado previamente contra este sector

El triple retorno a través de un mismo punto de entrada apunta a un problema sistémico: responder a un incidente sin eliminar por completo la causa raíz crea una ilusión de seguridad. Cada oleada aportó nuevas herramientas y puntos adicionales de persistencia, lo que complica la limpieza completa del entorno.

Recomendaciones de protección

  1. Aplicación de parches a Microsoft Exchange: asegúrese de que estén instaladas todas las actualizaciones de seguridad que corrigen las vulnerabilidades ProxyNotShell (CVE-2022-41040, CVE-2022-41082) y posteriores. Compruebe si se está utilizando una versión obsoleta de Exchange sin soporte
  2. Rotación de credenciales: tras detectar una intrusión en Exchange, es necesario restablecer todas las cuentas relacionadas, incluidas las de servicio, y no solo las de usuario
  3. Búsqueda de web shells: realice una auditoría de los directorios de Exchange en busca de archivos ASPX sospechosos que hayan aparecido después del periodo de posible compromiso
  4. Supervisión de la sustitución de DLL: supervise la carga de DLL atípicas por parte de los procesos de LogMeIn Hamachi y otras aplicaciones legítimas. Preste atención a la redefinición de funciones exportadas
  5. Bloqueo de IOC: añada el dominio sentinelonepro[.]com a las listas negras de DNS y de los servidores proxy
  6. Comprobación completa tras el incidente: al detectar signos de compromiso, no se limite a eliminar el malware: compruebe la existencia de puntos de persistencia de reserva, movimiento lateral y backdoors adicionales

Esta campaña demuestra claramente que una respuesta incompleta a un incidente es peor que la ausencia de respuesta: genera una falsa sensación de seguridad mientras el adversario continúa su operación. Las organizaciones del sector energético con servidores Microsoft Exchange expuestos en el perímetro deben dar prioridad a verificar la actualidad de los parches, buscar indicadores de compromiso y asegurarse de que el procedimiento de respuesta incluya la rotación completa de credenciales y la eliminación de todos los puntos de persistencia, y no solo del vector de intrusión inicial.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio