Mysterious Elephant: Detectan una avanzada campaña de ciberespionaje centrada en el robo de datos de WhatsApp
Investigadores de seguridad alertan sobre una evolución en las tácticas del grupo APT, que utiliza herramientas personalizadas y scripts de PowerShell para sustraer información sensible en la región de Asia-Pacífico.
El panorama del ciberespionaje internacional enfrenta una nueva amenaza de alta precisión. El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha identificado una campaña reciente vinculada al grupo de amenazas persistentes avanzadas (APT) conocido como Mysterious Elephant. Esta ofensiva, detectada a inicios de 2025, destaca por un objetivo inusual y alarmante: la extracción masiva de archivos y comunicaciones compartidas a través de la plataforma de mensajería WhatsApp.
El grupo ha concentrado sus ataques en organizaciones gubernamentales y entidades de asuntos exteriores, principalmente en países como Pakistán, Bangladesh, Afganistán y Sri Lanka. El fin último de estas operaciones es el robo de documentos confidenciales, imágenes y archivos comprimidos de alto valor estratégico.
Evolución técnica: El uso de BabShell y MemLoader
Lo que diferencia a esta campaña de incursiones anteriores es el sofisticado cambio en sus tácticas y procedimientos. Según los analistas de seguridad, Mysterious Elephant ha perfeccionado su arsenal mediante la combinación de herramientas de código abierto con software malicioso desarrollado a medida.
Entre las herramientas clave identificadas se encuentran:
BabShell: Una reverse shell (consola remota) que otorga a los atacantes control directo sobre los equipos infectados, permitiéndoles ejecutar comandos y recolectar metadatos críticos como direcciones MAC y nombres de usuario.
MemLoader HidenDesk: Un módulo avanzado capaz de ejecutar cargas maliciosas directamente en la memoria del sistema, evitando así la creación de archivos en el disco duro y dificultando su detección por parte de los antivirus tradicionales.
Scripts de PowerShell: Estos actúan como la columna vertebral de la infección, facilitando la persistencia del malware en el sistema y permitiendo la descarga de módulos adicionales sin levantar sospechas.
El foco en WhatsApp: Un riesgo para la diplomacia
La capacidad de Mysterious Elephant para extraer datos específicamente de WhatsApp marca un punto de inflexión en la seguridad de las comunicaciones móviles. Los atacantes han desarrollado módulos especializados que localizan y roban bases de datos y archivos multimedia (fotos y documentos) gestionados por la aplicación de mensajería, la cual es utilizada frecuentemente por funcionarios para comunicaciones rápidas, a menudo vulnerando protocolos de seguridad estricta.
"La infraestructura de este actor de amenazas está diseñada para el sigilo y la resiliencia", afirma Noushin Shabab, investigadora principal de seguridad en el equipo GReAT de Kaspersky. Shabab subraya que el grupo utiliza una compleja red de servidores privados virtuales (VPS) y registros DNS comodín para generar subdominios únicos, lo que vuelve extremadamente difícil el rastreo por parte de los equipos de respuesta ante incidentes.
Recomendaciones de seguridad
Ante la sofisticación de estas campañas de spear phishing (phishing dirigido), los expertos recomiendan a las organizaciones gubernamentales y corporativas elevar sus niveles de alerta. Las medidas de mitigación sugeridas incluyen:
Implementar una monitorización continua de la red para detectar actividades inusuales de PowerShell.
Reforzar la formación de los empleados sobre la identificación de documentos maliciosos y correos electrónicos sospechosos.
Limitar el uso de aplicaciones de mensajería comercial para el intercambio de información clasificada o sensible.
Esta nueva ofensiva de Mysterious Elephant pone de manifiesto que los grupos de ciberespionaje están adaptando sus herramientas no solo para vulnerar sistemas operativos, sino para explotar los datos residentes en las aplicaciones de uso diario de sus víctimas.