Ciberespionaje WhatsApp: Robo silencioso de datos

A inicios de 2025 se detectó una nueva operación de ciberespionaje WhatsApp atribuida al grupo avanzado de amenazas persistentes conocido como Mysterious Elephant. Esta campaña se ha enfocado principalmente en instituciones gubernamentales y organizaciones vinculadas con relaciones exteriores en países de Asia-Pacífico, donde el objetivo principal es el robo de información confidencial almacenada y compartida a través de WhatsApp.

Aunque los ataques se concentran en regiones como Pakistán, Bangladesh o Sri Lanka, este tipo de amenazas sirve como un ejemplo claro de los riesgos que también enfrentan dependencias públicas, empresas estratégicas y organismos diplomáticos en México, especialmente aquellos que utilizan aplicaciones de mensajería como parte de su comunicación diaria.

Nuevas técnicas para un espionaje más sofisticado

Durante esta campaña, los atacantes modificaron significativamente su forma de operar. Ahora combinan herramientas desarrolladas a medida con software de código abierto para infiltrarse de manera más discreta.

Una vez dentro de los sistemas, los atacantes buscan elevar privilegios, analizar la infraestructura interna y extraer archivos sensibles como documentos oficiales, imágenes y archivos comprimidos.

PowerShell y control remoto encubierto

Uno de los elementos clave de esta operación es el uso intensivo de scripts de PowerShell. Estas secuencias permiten ejecutar instrucciones maliciosas, instalar nuevas cargas de software dañino y mantener el acceso no autorizado durante largos periodos. Al apoyarse en herramientas legítimas del sistema, los atacantes logran ocultar sus acciones y reducir las probabilidades de detección.

Este recurso permite recopilar información técnica del sistema, como el usuario activo, el nombre del equipo y datos de red, lo que facilita el seguimiento individual de cada dispositivo infectado. Además, sirve como punto de partida para ejecutar módulos más avanzados que operan directamente en memoria para evadir controles de seguridad.

WhatsApp como objetivo principal

Un aspecto especialmente preocupante de esta campaña de ciberespionaje WhatsApp es su enfoque directo en la extracción de archivos compartidos mediante la aplicación. Los atacantes desarrollaron componentes específicos capaces de obtener documentos, fotografías y archivos comprimidos intercambiados en conversaciones, lo que representa un riesgo crítico para organizaciones que manejan información sensible a través de plataformas de mensajería.

En el contexto mexicano, donde WhatsApp es una de las herramientas de comunicación más utilizadas tanto a nivel personal como profesional, este tipo de ataque refuerza la necesidad de adoptar medidas de seguridad más estrictas y políticas claras sobre el uso de aplicaciones de mensajería en entornos laborales.

Infraestructura diseñada para el sigilo

La infraestructura utilizada por este grupo se caracteriza por su alta capacidad de ocultamiento. Emplea múltiples dominios, direcciones IP, registros DNS dinámicos y servicios en la nube que dificultan su rastreo. Esta arquitectura permite escalar operaciones rápidamente y mantener la persistencia sin ser detectados con facilidad.

De acuerdo con especialistas del equipo de investigación de Kaspersky, comprender las tácticas de estos grupos, compartir inteligencia sobre amenazas y fortalecer las medidas de seguridad es clave para reducir el impacto de ataques exitosos.

En Cyberpeace, creemos que la información es clave para anticiparse a las amenazas digitales. Mantenerse actualizado sobre ciberseguridad permite tomar mejores decisiones y reducir riesgos. La prevención comienza con el conocimiento.

¿Quieres aprender más sobre cómo proteger tu información y fortalecer tu seguridad digital? Síguenos en nuestras redes y mantente al día.

• LinkedIn 

• Facebook 

• Instagram 

• X 

• YouTube