Su servidor "habla" en turco y envía emojis: primeras señales de que ya han robado todos los datos
Qué sucede cuando Larva-26002 detecta un servidor MS‑SQL con contraseña débi
El mismo atacante vuelve por tercer año consecutivo a servidores de bases de datos mal protegidos. En 2026 el grupo Larva-26002 volvió a centrarse en MS-SQL y, al parecer, no piensa detenerse. Especialistas de AhnLab confirmaron que el atacante continúa buscando servidores con contraseñas simples y acceso abierto desde Internet. Anteriormente Larva-26002 difundía los cifradores Trigona y Mimic, y ahora apuesta por preparar nuevos ataques de forma encubierta.
El esquema sigue siendo conocido. El atacante prueba la contraseña de una cuenta, se conecta al servidor y recopila información básica del sistema. Luego utiliza la utilidad integrada de copia masiva de datos BCP para descargar sigilosamente un archivo malicioso directamente desde la base de datos al disco. Ese enfoque permite eludir parte de los mecanismos de defensa, ya que se emplean herramientas legítimas.
En ataques previos el atacante instalaba programas de acceso remoto como AnyDesk y sistemas de control de empleados como Teramind. En 2026 el énfasis cambió. En lugar de las herramientas antiguas se utiliza un malware nuevo llamado ICE Cloud. El archivo que llega primero al servidor actúa como cargador. Tras su ejecución se comunica con el servidor de mando y descarga el módulo principal ICE Cloud Client. El programa está escrito en Go y se camufla como una aplicación común, adoptando un nombre aleatorio.
ICE Cloud cumple dos funciones a la vez. Por un lado, el programa escanea otros servidores MS-SQL; por otro, intenta adivinar sus contraseñas. El servidor de mando transmite la lista de objetivos y credenciales estándar como ecomm/ecomm. Si el acceso tiene éxito, el resultado se envía de vuelta al atacante.
Es llamativo que dentro del programa se hallaran cadenas en turco e incluso emojis. Rasgos similares ya aparecieron en ataques que utilizaron Mimic, lo que indica una conexión con campañas anteriores. Si no es posible emplear la utilidad BCP, el atacante descarga el archivo malicioso directamente mediante curl, bitsadmin o PowerShell. Esa alternativa de reserva evita depender de la configuración del servidor.
Los ataques de Larva-26002 siguen basándose en una idea simple: encontrar un servidor con una contraseña débil y aprovecharlo. Por eso la protección también resulta predecible. Contraseñas complejas, su renovación periódica y limitar el acceso al servidor desde Internet reducen drásticamente el riesgo de intrusión. Sin dichas medidas, la infección puede repetirse una y otra vez, porque el atacante regresa a los mismos sistemas vulnerables.