WhatsApp ha emergido como un vehículo fundamental para ciberataques, afectando tanto a empresas como a instituciones gubernamentales que utilizan esta plataforma para compartir datos confidenciales.

A comienzos de 2025, el equipo GReAT de Kaspersky identificó la campaña Mysterious Elephant, un grupo APT que ha infiltrado redes para extraer documentos, imágenes y archivos a través de WhatsApp Desktop.

Los atacantes no accedieron a la aplicación ni a sus servidores, sino que comprometieron las computadoras de las víctimas para capturar información sensible transmitida por esta vía.

Esta estrategia se basa en el uso habitual de la mensajería, operando de manera discreta durante meses para recopilar credenciales y datos estratégicos.

Las brechas de seguridad resultan en pérdidas económicas, daños a la reputación y deterioro de la confianza con socios comerciales.

La combinación de canales personales y laborales presenta riesgos significativos para las organizaciones.

Ciberataques de Mysterious Elephant en 2025

Mysterious Elephant ha evolucionado en sus tácticas, utilizando herramientas propias junto a código abierto modificado para eludir mecanismos de detección.

El acceso inicial se logra mediante un spear-phishing y archivos maliciosos que, al ser abiertos, descargan cargas útiles.

Una vez dentro del sistema, el grupo eleva privilegios, se mueve lateralmente y extrae información de los sistemas vulnerados.

Utilizan scripts PowerShell legítimos de Windows para ejecutar comandos y descargar malware sin alertar.

Este malware se conecta a servidores controlados por los atacantes, permitiendo una persistencia casi invisible.

La infraestructura utilizada por el grupo se adapta constantemente, complicando su rastreo.

Estrategias de Spear-Phishing y PowerShell de Mysterious Elephant

BabShell funciona como una puerta trasera remota, permitiendo a los atacantes controlar los dispositivos infectados desde lejos.

Recopila datos básicos como nombres de usuario y ejecuta comandos maliciosos.

Posteriormente, activa MemLoader HidenDesk, que ejecuta código en memoria sin dejar rastro en disco.

Estas herramientas aseguran una presencia duradera en las redes, extrayendo archivos de WhatsApp sin comprometer la aplicación.

Fabio Assolini, director de Investigación de Kaspersky LatAm, advierte que el diseño de estos ataques se centra en el sigilo más que en la velocidad.

«Los atacantes pueden operar durante meses sin ser detectados», recalca.

Sigilo de BabShell y MemLoader

El experto señala que la operación permanece bajo el radar y persiste frente a intentos de eliminación debido a su adaptabilidad.

El uso cotidiano de plataformas como WhatsApp facilita la extracción de datos sin despertar sospechas.

El riesgo va más allá del robo; también implica una pérdida total de visibilidad y control digital.

Las organizaciones suelen subestimar las brechas en mensajería informal.

Sin embargo, el impacto en la reputación y en las operaciones puede ser duradero.

«Es imprescindible un cambio cultural inmediato para la prevención», enfatizan desde Kaspersky.

Consejos de Kaspersky para Mitigar Riesgos en WhatsApp

Kaspersky sugiere reforzar el uso del correo electrónico con filtros antiphishing y verificación de enlaces para bloquear accesos iniciales.

La compañía aconseja prohibir el intercambio de datos sensibles a través de canales no corporativos y actualizar dispositivos para reducir la exposición.

La capacitación regular de empleados es clave para convertirlos en la primera línea de defensa contra ingeniería social.

En este contexto, Kaspersky Next ofrece soluciones EDR/XDR para una detección integral, abarcando desde pequeñas empresas hasta grandes corporaciones.

Además, Threat Intelligence brinda un contexto sobre amenazas recientes para permitir respuestas proactivas.