El grupo de ciberespionaje chino FamousSparrow, atribuido al Ministerio de Seguridad del Estado (MSS), ha penetrado tres veces entre diciembre de 2025 y febrero de 2026 los sistemas de una importante petrolera azerí que opera en el Corredor Sur de Gas, del que dependen trece países europeos. Lo ha hecho utilizando una vulnerabilidad crítica de Microsoft Exchange, conocida como ProxyNotShell, que la víctima nunca parcheó. El robo de información incluye planes detallados de extracción y flujo de gas, según los investigadores que han destapado la campaña.
La operación en tres oleadas: del reconocimiento a la exfiltración
La primera intrusión ocurrió a mediados de diciembre, cuando los atacantes escanearon los servidores Exchange de la compañía azerí en busca de la vulnerabilidad ProxyNotShell. En apenas unos días identificaron varios sistemas sin el parche de seguridad que Microsoft distribuye desde finales de 2022. La segunda oleada, en enero, fue más agresiva: FamousSparrow desplegó sus propias webshells —portales ocultos de administración— para garantizar una presencia persistente. En la tercera y última fase, ejecutada a lo largo de febrero, los operadores del APT chino se movieron lateralmente por la red corporativa y sustrajeron documentación sensible, desde planos de ingeniería de pozos hasta contratos de suministro de gas a largo plazo. En total, estuvieron dentro al menos ocho semanas sin ser detectados.
La petrolera afectada es un nodo clave del Corredor Sur de Gas, la infraestructura que lleva hidrocarburos desde el Caspio hasta Europa a través de Turquía y el sudeste del continente. De su continuidad dependen países como Italia, Grecia, Bulgaria y, en menor medida, España. Cualquier disrupción en esa cadena tiene un efecto inmediato sobre la seguridad energética europea, un hecho que no escapa a la estrategia de Pekín.
Anatomía técnica: ProxyNotShell y el arte de no parchear
FamousSparrow es un APT conocido por atacar objetivos gubernamentales, financieros y energéticos en países asiáticos y, cada vez más, en el Cáucaso y Europa del Este. En esta campaña, explotó las vulnerabilidades CVE-2022-41040 y CVE-2022-41082, bautizadas como ProxyNotShell, que permiten la omisión de autenticación y la ejecución remota de código en Microsoft Exchange. El fallo reside en la capa de proxying y en el motor de sincronización de buzones, lo que posibilita a un atacante escalar privilegios sin credenciales válidas. Microsoft publicó las actualizaciones correspondientes en noviembre de 2022, pero la empresa azerí no las aplicó.
Una vez dentro, FamousSparrow desplegó variantes de su puerta trasera SparrowDoor, junto con webshells personalizadas escritas en JScript. Utilizaron Mimikatz para robar las credenciales de administradores de dominio y movieron se hacia hacia los controladores de dominio. La persistencia estaba asegurada mediante tareas programadas que lanzaban consultas DNS periódicas a servidores de mando y control alojados en infraestructura de nube china. Los investigadores describen la operación como «limpia y silenciosa, con una disciplina operativa por encima de la media». El ataque no buscó sabotaje, sino inteligencia pura: entender cuánto gas puede fluir, por dónde y cuándo.
El próximo 11S no se anunciará con un avión, sino con un clic en un servidor Exchange sin parchear. Este es el primer aviso.
Dossier Moncloa: Ojos en la Sombra
La campaña de FamousSparrow responde a una lógica de espionaje estratégico que Pekín practica desde hace una década. No es un ataque aislado: en 2018, el grupo APT10 (Stone Panda) comprometió a múltiples proveedores de servicios gestionados en Europa y América para acceder a empresas de infraestructuras críticas, incluidas eléctricas y gasísticas. Lo que distingue esta operación es la persistencia de un vector conocido y la incapacidad de la víctima para remediarlo. El uso de ProxyNotShell contra un actor de peso en el mercado energético europeo demuestra que la inteligencia china mantiene un ojo puesto en las arterias de suministro que rodean a Rusia.
El vector de amenaza es claro: un ciberataque de espionaje clásico, apoyado en una vulnerabilidad conocida pero sin parchear. El grupo FamousSparrow, controlado por el MSS, aprovechó un fallo de seguridad que el sector conocía desde hacía tres años para obtener información sobre volúmenes de producción y rutas de exportación. La petrolera afectada, cuyo nombre no se ha hecho público, opera varios campos en el mar Caspio y es una de las principales fuentes de gas para el gasoducto Trans Adriático. Por tanto, los datos sustraídos podrían ayudar a Pekín a anticipar fluctuaciones en los precios internacionales o a posicionarse en negociaciones bilaterales con terceros países.
Las agencias implicadas son, por un lado, el atacante: el MSS a través de FamousSparrow, grupo también rastreado por firmas de inteligencia como DragonSpark o Earth Lusca. Por otro, la defensora: los servicios de seguridad de Azerbaiyán y la propia empresa, además de los equipos de ciberseguridad de los países europeos receptores del gas. Como terceros observadores, el CNI y el CCN-CERT monitorizan este tipo de intrusiones porque afectan a un socio energético relevante. La cooperación entre Madrid y Bakú es discreta pero no inexistente, y en La Moncloa preocupa que China pueda utilizar datos robados para influir en contratos futuros con España. La guerra geopolítica del gas se libra tanto en despachos como en servidores.
A juzgar por la naturaleza del botín, el nivel de clasificación estimado de la información sustraída oscila entre «Confidencial» y «Secreto» según los estándares de la OTAN. Los planos técnicos y los contratos de suministro no tienen la máxima protección, pero su divulgación podría perjudicar seriamente los intereses económicos y estratégicos de la compañía y de los países clientes. El hecho de que los atacantes no hayan dejado rastro de sabotaje sugiere que la operación era puramente de inteligencia, lo que encaja con el perfil de FamousSparrow.
La lección de esta campaña es doble. Primero, el tradecraft de los grupos chinos ha evolucionado hacia una paciencia quirúrgica: prefieren permanecer meses dentro de una red antes que forzar una exfiltración ruidosa. Y segundo, la higiene cibernética sigue siendo la misericordia de los dioses de la seguridad. Un parche de 2022 habría frustrado las tres oleadas. El próximo informe de ENISA, la agencia europea de ciberseguridad, debería incorporar este incidente en su mapa de amenazas energéticas. Mientras tanto, el Caspio se convierte en otra casilla del tablero silencioso de la inteligencia.
