Investigadores de Kaspersky han observado una nueva oleada de actividad de la agrupación PassiveNeuron entre diciembre de 2024 y agosto de 2025, con objetivos en organismos gubernamentales, entidades financieras y compañías industriales de Asia, África y América Latina. La campaña destaca por su foco en sistemas operativos de servidor, especialmente Windows Server, elevando el riesgo sobre activos críticos y nodos de alto valor dentro de redes corporativas.
Cronología y alcance geográfico de la campaña APT
Los primeros indicios datan de junio de 2024; tras una pausa, la operación se reactivó a finales de ese año con mayor resiliencia y un conjunto ampliado de herramientas. El abanico de sectores afectados y la persistencia observada sugieren un interés en acceso prolongado y posicionamiento estratégico, un patrón típico en operaciones APT orientadas a espionaje y acceso a datos sensibles.
Vector de intrusión: abuso de Microsoft SQL y servidores expuestos
Parte de los incidentes involucró la ejecución remota de comandos a través de Microsoft SQL Server en hosts comprometidos. En escenarios reales, los atacantes explotan funcionalidades como xp_cmdshell o ensamblados CLR personalizados para invocar comandos del sistema con el contexto del servicio de la base de datos. Estas técnicas se alinean con MITRE ATT&CK (p.ej., T1059 Ejecución de comandos, T1505 Abuso de componentes de software de servidor, T1021 Servicios remotos y T1572 Túneles de red) y facilitan el movimiento lateral y el establecimiento de persistencia. Cabe recordar que xp_cmdshell está deshabilitado por defecto en SQL Server, por lo que su activación constituye un fuerte indicador de riesgo de abuso.
Herramientas observadas: Cobalt Strike, Neursite y NeuralExecutor
Los operadores combinaron el conocido framework ofensivo Cobalt Strike con dos piezas personalizadas: el backdoor Neursite y el implante .NET NeuralExecutor. Esta mezcla de tooling comercial y desarrollo propio reduce la detectabilidad, diversifica canales de control y complica la atribución y la respuesta.
Neursite: backdoor modular y túneles internos
Neursite es un backdoor modular que inventaría sistemas, gestiona procesos y encamina tráfico a través de nodos ya comprometidos. Se han visto muestras comunicándose tanto con C2 externos como con sistemas internos comprometidos, creando cadenas de proxys dentro del perímetro para encubrir la exfiltración y facilitar el pivoting.
NeuralExecutor: implante .NET con carga bajo demanda
NeuralExecutor es un implante .NET capaz de descargar y ejecutar ensamblados por demanda desde el C2, lo que minimiza artefactos en disco y dificulta el análisis estático. Al modularizar la funcionalidad, los operadores introducen capacidades solo cuando las necesitan, una táctica efectiva para evadir controles centrados en firmas y listas de bloqueo.
Atribución y posibles “false flags”
El análisis identificó artefactos con nombres de funciones reemplazados por cadenas en cirílico. Estos elementos pueden operar como false flags para confundir la atribución. Con base en tácticas, técnicas y procedimientos (TTP), la actividad se asocia de forma tentativa con un actor sinófobo, pero con bajo nivel de confianza. La mezcla de tooling y la ofuscación refuerzan la cautela en cualquier conclusión de origen.
Medidas de mitigación para Windows Server y SQL Server
Reducir superficie de ataque: segmentar redes, eliminar exposición directa de servidores críticos a Internet, aplicar el principio de mínimo privilegio y restringir el acceso a SQL Server con listas de control IP y autenticación robusta. Deshabilitar xp_cmdshell, bloquear CLR no confiable y revisar roles/credenciales de servicio.
Detección y respuesta: desplegar EDR/XDR con detecciones de comportamiento para Cobalt Strike y uso anómalo de intérpretes de comandos; monitorizar cargas dinámicas de ensamblados .NET, creación/modificación de servicios y tareas programadas, y habilitar auditoría de SQL (incluidas SP extendidas). Correlacionar eventos de red que revelen túneles internos y patrones de beaconing.
Resiliencia operativa: aplicar parches de SO y SGBD con prioridad, usar MFA en cuentas administrativas, implementar control de aplicaciones, proteger credenciales de cuentas de servicio y ejecutar Threat Hunting proactivo. Mapear y validar periódicamente TTP relevantes según MITRE ATT&CK para servidores Windows y SQL.
La campaña de PassiveNeuron confirma que los servidores —y en particular Windows Server accesible desde Internet— siguen siendo un objetivo de alto valor. Reducir exposición, reforzar la telemetría y validar TTP orientados a SQL, backdoors modulares y implantes .NET es hoy la mejor defensa. Priorice segmentación estricta, desactive funciones peligrosas y fortalezca la monitorización: una inversión clave para evitar el próximo incidente.
