Analistas de Trend Micro han identificado una campaña en rápida expansión que abusa de WhatsApp Web para propagar un nuevo malware de Windows, conocido como SORVEPOTEL. La operación prioriza la velocidad de difusión y el alcance por encima del robo de datos o la extorsión, un enfoque que maximiza el impacto operativo y reputacional en organizaciones que dependen de canales de mensajería para su negocio.
SORVEPOTEL en cifras: foco en Brasil y verticales afectados
La actividad observada se concentra casi por completo en Brasil: 457 de 477 infecciones confirmadas se localizaron en el país, con víctimas en administraciones públicas y sectores de servicios, manufactura, tecnología, educación y construcción. Las señuelos se distribuyen como archivos ZIP que simulan ser comprobantes de pago o aplicaciones de salud, cuidadosamente diseñados para abrirse en equipos de escritorio, lo que sugiere un interés explícito por entornos corporativos.
Cadena de ataque: de ZIP y LNK a PowerShell, C2 y persistencia
La infección se desencadena cuando el usuario abre el adjunto y ejecuta un Windows Shortcut (LNK). El acceso directo invoca de forma silenciosa PowerShell para descargar el módulo principal desde infraestructura externa —se han observado dominios señuelo como sorvetenopoate[.]com— y continuar la ejecución sin interacción adicional.
Autopropagación a través de WhatsApp Web
La característica distintiva de SORVEPOTEL es su capacidad de autopropagación. Una vez activo, automatiza el envío de archivos ZIP maliciosos a todos los contactos y grupos del usuario mediante WhatsApp Web en el equipo comprometido. Este patrón genera oleadas de spam que a menudo terminan en bloqueos de cuenta por violación de políticas, sin evidencias actuales de exfiltración de datos o cifrado de archivos. Aun así, la toma de control del canal y el envío no autorizado suponen un riesgo operativo elevado.
El payload descargado incluye un script por lotes (BAT) que establece persistencia copiándose en la carpeta de inicio de Windows, ejecutándose al iniciar sesión. A continuación, emite comandos de PowerShell para comunicarse con un servidor de mando y control (C2) y recibir instrucciones o complementos. Esta arquitectura modular permite a los atacantes ajustar rápidamente su táctica y ampliar la campaña.
Por qué es relevante para el negocio: de “spam” a puerta de entrada
Aunque no hay indicios de ransomware o robo de credenciales, la cadena LNK → PowerShell → descarga de módulo → persistencia → C2 coincide con las fases iniciales de numerosas intrusiones modernas. Abre la puerta a la escalada, la instalación de spyware y el movimiento lateral. Además, la propagación vía WhatsApp Web corporativo puede desencadenar incidentes secundarios en clientes y socios, y la suspensión de cuentas impacta comunicaciones críticas.
Controles recomendados para Windows y WhatsApp Web
Reducir superficie de ataque: limitar PowerShell para usuarios no técnicos, habilitar Constrained Language Mode y auditoría del motor de scripts. Restringir la ejecución de LNK en descargas y temporales con AppLocker/WDAC.
Correo y mensajería: bloquear o enviar a sandbox adjuntos ZIP por defecto, especialmente externos al dominio. Supervisar y aplicar políticas DLP sobre archivos compartidos vía WhatsApp Web en estaciones de trabajo.
Control de red y telemetría: aplicar filtrado DNS y bloquear dominios C2 sospechosos. Activar Script Block Logging y Transcription en PowerShell; vigilar anomalías en salidas a internet desde puestos de usuario.
EDR y hardening del SO: desplegar EDR con detecciones comportamentales de la cadena LNK→PowerShell→BAT. Monitorizar la autocarga y cambios en claves/carpeta de inicio. Mantener parcheo y actualizaciones regulares.
Concienciación: formar a empleados para reconocer phishing en mensajeros; enfatizar que “comprobantes” y “apps de salud” en ZIP son señuelos habituales.
El caso SORVEPOTEL evidencia cómo actores maliciosos explotan plataformas de comunicación masiva para lograr una expansión relámpago con mínima fricción. Reforzar el control del uso de WhatsApp Web en equipos corporativos, endurecer políticas de ejecución de scripts y activar telemetría de PowerShell puede cortar a tiempo la cadena LNK→PowerShell→C2. Actúe hoy: revise sus políticas de mensajería, habilite registros avanzados y valide que su EDR detecta esta secuencia; una detección temprana reduce drásticamente el riesgo de interrupciones y contagios en toda la cadena de suministro.
