Una investigación de Kaspersky ha puesto en evidencia una ofensiva dirigida que utiliza el canal de mensajería instantánea WhatsApp como un punto ciego para el robo de información sensible. El grupo de Amenaza Persistente Avanzada (APT) conocido como «Mysterious Elephant» está llevando a cabo una campaña coordinada para infiltrarse en redes institucionales y gubernamentales, aprovechando la filtración de documentos e información confidencial a través de canales no corporativos.
A principios de 2025, el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky identificó que la estrategia de los atacantes no consiste en vulnerar la aplicación de WhatsApp o sus servidores, sino en comprometer directamente los equipos de las víctimas (como computadores de trabajo) para luego localizar y extraer archivos sensibles (documentos, imágenes, archivos comprimidos) que han sido enviados o recibidos mediante WhatsApp Desktop o la versión web.
Esta brecha, que se origina por el uso de herramientas cotidianas para compartir datos laborales, representa un riesgo significativo para la seguridad, la reputación y la estabilidad operativa de las organizaciones. Una vez dentro de la red, los atacantes pueden permanecer ocultos por largo tiempo, recopilando credenciales y archivos críticos.
Tácticas y herramientas del ataque
Los expertos de Kaspersky señalan un cambio en la metodología de Mysterious Elephant. El grupo combina el desarrollo de herramientas propias con componentes de código abierto modificados.
Acceso Inicial: La ofensiva comienza con técnicas de ingeniería social, como el spear-phishing o correos electrónicos personalizados, que incluyen documentos infectados para descargar cargas maliciosas al ser abiertos.
Ejecución Silenciosa: Una vez dentro, los atacantes utilizan scripts de PowerShell —una herramienta legítima de windows— para ejecutar órdenes y descargar programas adicionales sin levantar sospechas, conectándose a servidores de comando y control.
Puerta Trasera: El grupo emplea una herramienta clave, llamada BabShell, que actúa como una puerta de acceso remoto (backdoor). BabShell establece una conexión directa con los atacantes, permitiendo el control a distancia del equipo comprometido para recolectar información básica y ejecutar nuevas instrucciones.
Ocultamiento Avanzado: BabShell activa componentes más sofisticados, como MemLoader HidenDesk, diseñado para ejecutar código malicioso directamente en la memoria del sistema. Esto permite a los atacantes operar sin dejar rastros visibles en el disco, prolongando su permanencia y control sobre las máquinas.
Fabio Assolini, director de Investigación y Análisis para américa latina en Kaspersky, enfatizó que la operación de este grupo está diseñada para «pasar desapercibida y mantenerse activa incluso cuando se intenta detenerla». El verdadero riesgo, según el experto, reside en la pérdida de control y visibilidad sobre el entorno digital institucional, facilitada por el uso de canales de mensajería para extraer información.
Recomendaciones de seguridad para empresas
Kaspersky recomienda a las organizaciones reforzar sus defensas con medidas clave:
Protección de correo: Implementar filtros antiphishing y fortalecer la verificación de mensajes, dado que muchos ataques inician por esta vía.
Gestión de dispositivos y mensajería: Evitar estrictamente el intercambio de información confidencial a través de canales no corporativos como WhatsApp Desktop, mantener los equipos actualizados y aplicar políticas claras sobre el uso de dispositivos.
Cultura de seguridad: Capacitar al personal para que actúe como primera línea de defensa, identificando correos falsos y comportamientos sospechosos.
Soluciones integrales: Incorporar sistemas como Kaspersky Next, que combinan protección en tiempo real con capacidades avanzadas de detección y respuesta ante incidentes (EDR y XDR).
Inteligencia de amenazas: Utilizar herramientas de Kaspersky Threat Intelligence para anticiparse a los ataques más recientes y tomar decisiones informadas.
Fuente: Kaspersky
