A comienzos de 2025, el Equipo Global de Investigación y Análisis de Kaspersky (GReAT) identificó una nueva campaña del grupo APT conocido como Mysterious Elephant. Este actor amenaza principalmente a entidades gubernamentales y organizaciones del ámbito de los asuntos exteriores en la región de Asia-Pacífico, sobre todo en Pakistán, Bangladesh, Afganistán, Nepal, Sri Lanka y otros países. El objetivo de los ciberdelincuenteses robar información altamente sensible, incluidos documentos, imágenes y archivos comprimidos, con especial interés en los datos compartidos a través de WhatsApp.

La campaña de 2025 marca un cambio significativo en las tácticas, técnicas y procedimientos (TTP) del grupo. Los ciberdelincuentes combinan ahora herramientas personalizadas con soluciones de código abierto para alcanzar sus objetivos. Para lograr el acceso inicial, utilizan kits de explotación, correos electrónicos de spear phishing adaptados y documentos maliciosos diseñados específicamente para cada víctima. Una vez dentro de la red, despliegan distintas herramientas y técnicas para obtener permisos más altos, explorar la infraestructura y extraer información confidencial.

En el caso de Mysterious Elephant, los scripts de PowerShell constituyen la columna vertebral de sus operaciones, ya que permiten ejecutar instrucciones maliciosas, instalar más malware en los equipos infectados y asegurar que el acceso no autorizado se mantenga de forma prolongada. Estas secuencias aprovechan herramientas legítimas y utilidades del sistema para camuflar sus actividades y evitar ser detectadas.

Una de las herramientas centrales de su arsenal es BabShell, una reverse shell que otorga a los ciberdelincuentes acceso directo a los equipos infectados. Una vez ejecutada, recopila información crítica del sistema, como el nombre de usuario, el nombre del equipo y la dirección MAC, que permite a los ciberdelincuentes identificar y rastrear cada dispositivo de manera precisa. BabShell también sirve como plataforma de lanzamiento de módulos avanzados como MemLoader HidenDesk, capaz de ejecutar cargas maliciosas directamente en memoria utilizando cifrado y compresión para evadir la detección.

Esta campaña es destacable por tener el foco puesto en el robo de datos de WhatsApp. Los ciberdelincuentes han desarrollado módulos especializados capaces de extraer archivos compartidos a través de la aplicación, incluidos documentos sensibles, fotos y archivos comprimidos.

“La infraestructura de este actor de amenazas está diseñada para el sigilo y la resiliencia, utilizando una red de dominios e IP, registros DNS comodín, VPS y servicios de alojamiento en la nube. Estos registros DNS permiten generar subdominios únicos para cada solicitud, escalar las operaciones rápidamente y dificultar el rastreo por parte de los equipos de seguridad.Comprender las TTP de este grupo, compartir inteligencia sobre amenazas e implementar medidas de seguridad eficaces es esencial para reducir el riesgo de ciberataques exitosos y proteger la información sensible. Las organizaciones deben reforzar su seguridad mediante actualizaciones periódicas, monitorización de red y formación de los empleados”, afirma Noushin Shabab, investigadora principal de seguridad en el Equipo GReAT de Kaspersky.