Microsoft describe una campaña que arranca en WhatsApp y termina en una cadena de infección de varias etapas diseñada para obtener persistencia y acceso remoto. El detalle que vuelve especialmente inquietante al caso es el uso de una plataforma cotidiana y confiable como punto de entrada, mezclando mensajería, ingeniería social y utilidades del propio sistema para dificultar la detección temprana.
Según el análisis, los atacantes distribuyen archivos VBS que descargan nuevas etapas desde servicios cloud como AWS, Tencent Cloud y Backblaze B2. Después, emplean herramientas de Windows renombradas para mezclarse con la actividad normal del equipo y culminan con la instalación de paquetes MSI maliciosos que consolidan el control sobre el sistema comprometido.
El valor del caso está en cómo combina técnicas conocidas dentro de un flujo muy creíble para la víctima. No depende de una sola novedad técnica, sino de la suma de engaño, camuflaje y abuso de infraestructura legítima, un patrón que suele resultar más eficaz que los ataques ruidosos.
Para equipos defensivos, la historia deja una conclusión directa: las plataformas de comunicación confiables ya forman parte estable del mapa de distribución de malware, y el uso de servicios cloud legítimos vuelve todavía más difusa la frontera entre actividad normal y actividad maliciosa.