Nos últimos anos, grupos de Ameaças Persistentes Avançadas (APT) têm mudado suas táticas de ataque, passando de um foco em servidores de e-mail para uma nova estratégia direcionada a bancos de dados empresariais. Um relatório da Palo Alto Networks, líder em cibersegurança, revela que essa abordagem tem sido cada vez mais adotada por ameaçadores, destacando um novo grupo conhecido como Phantom Taurus, vinculado a atividades de ciberespionagem.
Essa mudança de foco permite que os atacantes obtenham grandes volumes de informações estruturadas — como dados financeiros, listas de clientes e registros internos — de forma mais rápida e discreta, sem a necessidade de campanhas de phishing ou acessos a e-mails corporativos. As melhorias nas proteções de e-mail, como autenticação multifator e filtros antiphishing, tornam esse canal mais difícil de ser comprometido, enquanto as bases de dados corporativas costumam apresentar menos vigilância e proteção.
O caso do Phantom Taurus é um exemplo claro dessa nova tendência. Identificado pela equipe de inteligência de ameaças Unit 42, esse grupo APT, vinculado à China, tem realizado operações discretas há pelo menos dois anos e meio, atacando órgãos governamentais, embaixadas, instituições militares e empresas de telecomunicações na África, Oriente Médio e Ásia. Entre 2023 e 2024, o grupo focou em servidores Exchange, utilizando malwares como TunnelSpecter e SweetSpecter, mas em 2025, uma mudança de tática foi identificada: o uso de um script automatizado para acessar bancos de dados Microsoft SQL Server usando credenciais roubadas.
Além de operações automatizadas que eliminam vestígios, o Phantom Taurus também desenvolveu uma suite de malware chamada NET-STAR, que permite a infiltração em servidores web sem deixar rastros em disco, aumentando consideravelmente a complexidade de suas ações.
Esse novo comportamento dos grupos APT representa um alerta para as organizações, que não podem se concentrar apenas na proteção do perímetro e do e-mail. É crucial adotar medidas rigorosas de segurança nos ativos críticos que armazenam informações sensíveis. A Palo Alto Networks recomenda a implementação de controles de acesso restritos, monitoramento ativo de atividades incomuns, manutenção regular de atualizações de segurança e segmentação de redes internas.
