WhatsApp, objetivo de grupos de ciberespionaje

El Equipo Global de Investigación y Análisis de Kaspersky ha analizado la evolución del grupo APT (Advanced Persistent Threat) Mysterious Elephant, que la compañía identificó y explicó en detalle en octubre. La campaña que lanzaron a inicios del pasado año supuso un “cambio significativo” en sus TTP (tácticas, técnicas y procedimientos), con el uso tanto de herramientas personalizadas como de soluciones de código abierto.

Para el acceso inicial, “utilizan kits de explotación, correos electrónicos de spear phishing adaptados y documentos maliciosos diseñados específicamente para cada víctima”. La principal herramienta del grupo, una vez dentro de los sistemas, son los scripts de PowerShell, con los que ejecutan instrucciones maliciosas, instalan otras herramientas de malware y aseguran un acceso prolongado en el tiempo.

La campaña de hace un año se centró en el robo de datos de WhatsApp en países de Asia-Pacífico y en organizaciones de gobierno y exteriores. Kaspersky explica que una de sus principales herramientas es BabShell, que da acceso directo a los equipos infectados, en los que recopila información crítica del sistema, y “sirve como plataforma de lanzamiento de módulos avanzados como MemLoader HidenDesk, capaz de ejecutar cargas maliciosas directamente en memoria”.

Noushin Shabab, investigadora principal de seguridad en el Equipo GReAT de Kaspersky, explica que “la infraestructura de este actor de amenazas está diseñada para el sigilo y la resiliencia, utilizando una red de dominios e IP, registros DNS comodín, VPS y servicios de alojamiento en la nube. Estos registros DNS permiten generar subdominios únicos para cada solicitud, escalar las operaciones rápidamente y dificultar el rastreo por parte de los equipos de seguridad.Comprender las TTP de este grupo, compartir inteligencia sobre amenazas e implementar medidas de seguridad eficaces es esencial para reducir el riesgo”.