A comienzos de 2025, el Equipo Global de Investigación y Análisis de Kaspersky (GReAT) identificó una nueva campaña del grupo APT conocido como Mysterious Elephant. Este actor amenaza principalmente a entidades gubernamentales y organizaciones del ámbito de los asuntos exteriores en la región de Asia-Pacífico, sobre todo en Pakistán, Bangladesh, Afganistán, Nepal, Sri Lanka y otros países. El objetivo de los ciberdelincuentes es robar información altamente sensible, incluidos documentos, imágenes y archivos comprimidos, con especial interés en los datos compartidos a través de WhatsApp.

La campaña de 2025 marca un cambio significativo en las tácticas, técnicas y procedimientos (TTP) del grupo. Los ciberdelincuentes combinan ahora herramientas personalizadas con soluciones de código abierto para alcanzar sus objetivos. Para lograr el acceso inicial, utilizan kits de explotación, correos electrónicos de spear phishing adaptados y documentos maliciosos diseñados específicamente para cada víctima. Una vez dentro de la red, despliegan distintas herramientas y técnicas para obtener permisos más altos, explorar la infraestructura y extraer información confidencial.

En el caso de Mysterious Elephant, los scripts de PowerShell constituyen la columna vertebral de sus operaciones, ya que permiten ejecutar instrucciones maliciosas, instalar más malware en los equipos infectados y asegurar que el acceso no autorizado se mantenga de forma prolongada. Estas secuencias aprovechan herramientas legítimas y utilidades del sistema para camuflar sus actividades y evitar ser detectadas.

Una de las herramientas centrales de su arsenal es BabShell, una reverse shell que otorga a los ciberdelincuentes acceso directo a los equipos infectados. Una vez ejecutada, recopila información crítica del sistema, como el nombre de usuario, el nombre del equipo y la dirección MAC, que permite a los ciberdelincuentes identificar y rastrear cada dispositivo de manera precisa. BabShell también sirve como plataforma de lanzamiento de módulos avanzados como MemLoader HidenDesk, capaz de ejecutar cargas maliciosas directamente en memoria utilizando cifrado y compresión para evadir la detección.

Esta campaña es destacable por tener el foco puesto en el robo de datos de WhatsApp. Los ciberdelincuentes han desarrollado módulos especializados capaces de extraer archivos compartidos a través de la aplicación, incluidos documentos sensibles, fotos y archivos comprimidos.

“La infraestructura de este actor de amenazas está diseñada para el sigilo y la resiliencia, utilizando una red de dominios e IP, registros DNS comodín, VPS y servicios de alojamiento en la nube. Estos registros DNS permiten generar subdominios únicos para cada solicitud, escalar las operaciones rápidamente y dificultar el rastreo por parte de los equipos de seguridad.Comprender las TTP de este grupo, compartir

inteligencia sobre amenazas e implementar medidas de seguridad eficaces es esencial para reducir el riesgo de ciberataques exitosos y proteger la información sensible. Las organizaciones deben reforzar su seguridad mediante actualizaciones periódicas, monitorización de red y formación de los empleados”, afirma Noushin Shabab, investigadora principal de seguridad en el Equipo GReAT de Kaspersky. El informe completo está disponible en Securelist.

Los analistas de Kaspersky aconsejan a las organizaciones seguir estas prácticas para prevenir o mitigar ciberataques similares:
· Garantizar que todos los equipos de trabajo de la organización cuenten con agentes de seguridad instalados, sin excepciones, para permitir la detección temprana de incidentes y minimizar los posibles daños.
· Revisar y controlar los privilegios de cuentas de usuario y de servicio, evitando asignar permisos excesivos, especialmente a las cuentas que se utilizan en varios equipos dentro de la infraestructura.
· Proteger a la empresa frente a un amplio espectro de amenazas mediante la gama Kaspersky Next, que combina protección en tiempo real, visibilidad de amenazas, investigación y capacidades de respuesta EDR y XDR para organizaciones de cualquier tamaño y sector. Según las necesidades y recursos disponibles, es posible elegir el nivel de producto más adecuado y migrar fácilmente a otro si los requisitos de ciberseguridad cambian.
· Adoptar servicios de seguridad gestionada de Kaspersky, como Compromise Assessment, Managed Detection and Response (MDR) e Incident Response, que cubren todo el ciclo de gestión de incidentes; desde la identificación de amenazas hasta la protección continua y la remediación Estos servicios ayudan a defenderse de ciberataques evasivos, investigar incidentes y reforzar la protección incluso en empresas con escasez de personal especializado.
· Proporcionar a los equipos de seguridad una visibilidad profunda de las ciberamenazas dirigidas a su organización. La más reciente Kaspersky Threat Intelligence ofrece contexto rico y accionable durante todo el ciclo de gestión de incidentes, ayudando a identificar riesgos de manera temprana y a reforzar la capacidad de respuesta.