Brazil, as the second largest WhatsApp market in the world with 148 million active users, has become a strategic target for coordinated malware campaigns that exploit the inherent trust in messaging app communications. Since September 2025, three operations with strong technical similarities — Water Saci, Maverick, and Coyote — have been compromising Brazilian companies and institutions through sophisticated WhatsApp Web session hijacking techniques and automatic banking trojan propagation.

The campaigns use malicious ZIP files distributed by previously compromised contacts, exploiting trust in messages from acquaintances. Once executed, the files initiate complex infection chains that include VBS and PowerShell scripts, hijacking of legitimate Chrome browser profiles, and installation of command and control frameworks such as Havoc. The distinguishing feature of these operations lies in their self-propagation capability: infected systems automatically send the malware to all of the victim's WhatsApp contacts, transforming each compromise into a new dissemination vector.

SEK identified these campaigns affecting Brazilian organizations and issued an emergency communication to its clients on October 1, 2025, alerting them to the risks and providing technical protection guidance. Subsequent technical analyses conducted by Trend Micro and CyberProof corroborated the severity of the threat, revealing that of the 477 recorded infections, 457 were concentrated in Brazilian territory. Investigations identified significant connections between the three operations, suggesting a strong probability of activity within the same criminal ecosystem specialized in banking fraud.

In this Intelligence Bulletin, SEK's Cyber Threat Intelligence team consolidates analyses from multiple specialized sources, presents technical details of the Water Saci, Maverick, and Coyote campaigns, demonstrates their operational connections, provides updated indicators of compromise, and offers practical recommendations for defense against these persistent threats.

WhatsApp as a strategic attack vector in the Brazilian ecosystem

Brazil has established itself as a privileged environment for cybercriminal operations targeting the financial sector. With over 90% of households connected to the internet and digital transactions representing 80% of total banking operations in the country, the Brazilian digital landscape offers a broad and lucrative attack surface. Data from the National Institute for Combating Cybercrime estimates that losses caused by cyberattacks in Brazil reached R$ 2.3 trillion, while Brazilian financial institutions suffer an average of 1,774 attacks per week per organization, exceeding the global average of 1,696 attacks.

In this context, WhatsApp has emerged as the preferred attack vector. With 148 million active users, Brazil is the second largest market for the platform globally, behind only India. The app's popularity transcends personal use: Brazilian organizations have incorporated WhatsApp as a legitimate corporate communication tool, creating an environment where professional and personal messages coexist without clear security context distinctions.

SEK has previously documented the evolution of social engineering tactics in the Brazilian market, particularly in the Intelligence Bulletin on fake boleto scams, where sophisticated campaigns exploiting trust in established communication channels were identified. The Water Saci, Maverick, and Coyote operations represent the next phase of this evolution: they not only exploit trusted channels but actively hijack these trust relationships for automated propagation at scale.

Water Saci Operation: self-propagation through WhatsApp Web

The Water Saci campaign was identified by Trend Micro in October 2025, following analysis of suspicious activities that began on September 29. The operation uses the SORVEPOTEL malware, a name derived from a typosquatting domain that mimics the Brazilian expression "sorvete no pote" (ice cream in a cup) for detection evasion. Of the 477 infections documented by Trend Micro, 457 were concentrated exclusively in Brazil, confirming the campaign's precise geographic targeting.

The infection chain begins when victims receive WhatsApp messages from previously compromised contacts, typically colleagues or business partners, drastically increasing the likelihood of execution. The messages contain ZIP files with convincing nomenclatures such as RES-20250930_112057.zip, ORCAMENTO_XXXXXXX.zip, or COMPROVANTE_20251002_XXXXXXX.zip, simulating legitimate financial or commercial documents. The accompanying message specifically instructs that the file should be opened on desktop, deliberately directing the attack toward corporate environments where Windows systems predominate.

Malicious message sent via WhatsApp. Source: Trend Micro

Trend Micro documented significant evolution in the attack chain in October 2025. While initial versions used traditional .NET binaries, the updated chain adopts a more sophisticated and harder-to-detect script-based approach. Inside the ZIP file, victims find not conventional executables, but obfuscated VBS (Visual Basic Script) files, typically named Orcamento.vbs. When executed, these scripts leave no artifacts on disk, operating through fileless execution via PowerShell.

The obfuscated VBS script issues a PowerShell command that uses New-Object Net.WebClient to download and directly execute a secondary payload in memory, frequently named tadeu.ps1 or whatsapp_automation_v6_robust.ps1. This payload falsely presents itself as "WhatsApp Automation v6.0", masking its malicious nature. Trend Micro's analysis revealed consistent use of Portuguese in the scripts, confirming development by Brazilian actors or native speakers.

Technical sophistication manifests in the attack environment preparation. The malware creates a temporary workspace in C:\temp, downloads the WhatsApp automation library (WA-JS) directly from legitimate GitHub, and retrieves an additional malicious ZIP payload (Bin.zip). Simultaneously, it checks the installed Chrome version, downloads the corresponding ChromeDriver, and installs the Selenium PowerShell module, establishing complete infrastructure for browser automation.

The WhatsApp Web hijacking mechanism demonstrates deep understanding of web application security. The malware terminates all existing Chrome processes and clears old sessions to ensure clean operation. Critical to the attack's success, it copies legitimate Chrome profile data from the victim, including cookies, authentication tokens, and saved sessions, to its temporary workspace. This technique enables complete bypass of WhatsApp Web authentication without requiring QR code scanning or security alerts, as the malware simply reuses already established legitimate credentials.

With the hijacked session established, the malware launches Chrome with specific automation flags designed for detection evasion, and injects the WA-JS library for programmatic WhatsApp control. Contact harvesting occurs through sophisticated JavaScript that filters specific number patterns while extracting names and phone numbers from all available contacts. The complete list is immediately exfiltrated to the C2 server, providing attackers with valuable intelligence about corporate networks and business relationships.

Remote control system and coordinated botnet operation

The most sophisticated characteristic of the Water Saci operation lies in its remote control system that transforms infected machines into a coordinated botnet. Before processing each contact during propagation, the malware sends a GET request to miportuarios[.]com/sisti/config[.]php?chave=envio_ativo. The C2 server responds with JSON data containing a "valor" field configured as "true" or "false". When configured as "false", the malware immediately pauses all operations and enters a polling loop that checks server status every 30 seconds.

Automated ZIP file distribution uses Base64 encoding technique for transmission through the WhatsApp messaging system. The malware converts the file in C:\temp\Bin.zip to Base64, generates randomized file names using a configurable prefix and eight random digits (example: Orcamento-202512345678.zip), and iterates through each harvested contact. For each recipient, it checks for remote pause commands, personalizes greeting messages by substituting template variables with time-based greetings and contact names, and injects JavaScript into WhatsApp Web that converts Base64 data back to binary, creates File objects, and executes an automated three-step sequence: greeting message, malicious file, and closing message.

The campaign generates detailed statistics including success counts, victim system profiles, and lists of successfully contacted targets, sending all data back to the C2. This intelligence allows attackers to measure campaign performance with precision, orchestrate coordinated actions across multiple infected machines, and strategize future attacks based on concrete effectiveness data.

SORVEPOTEL Backdoor: persistence and advanced C2 capabilities

The SORVEPOTEL backdoor component, delivered through the Orcamento.vbs file, implements comprehensive anti-analysis mechanisms designed to prevent investigation and limit execution to intended targets. The language verification system ensures execution only on systems configured for Portuguese, self-deleting if any other language is detected. Anti-analysis capabilities extend to active detection of debugging and analysis tools, including ollydbg.exe, idaq.exe, x32dbg.exe, x64dbg.exe, windbg.exe, processhacker.exe, and procmon.exe. If any of these tools are detected, the malware employs a sophisticated self-destruction mechanism that creates a batch file to delete itself and perform cleanup operations.

Before establishing persistence, it implements a WMI-based mutex mechanism to prevent multiple simultaneous instances. Unlike traditional Windows mutex objects, it uses WMI process enumeration, querying for wscript.exe and cscript.exe processes and checking their command lines for the service name. Detection of more than one instance results in immediate exit to prevent conflicts.

The multi-vector persistence strategy ensures survival across system reboots and user sessions. The self-installation routine establishes foothold through registry modifications and scheduled task creation, using a dropped copy of itself named WinManagers.vbs saved in C:\ProgramData\WindowsManager\. This location, combined with nomenclature mimicking legitimate Windows components, increases chances of going unnoticed during manual inspections.

Trend Micro documented that beyond the initial hardcoded email credentials, attackers used multiple email accounts with different domains and passwords. Monitoring later revealed implementation of multi-factor authentication (MFA) by attackers to prevent unauthorized access to their own controlling email accounts. Ironically, this security measure introduced operational delays, as each login required manual authentication code entry, likely motivating deployment of new email accounts to streamline activities.

Once the backdoor obtains C2 server URLs through the email channel, it transitions to an aggressive HTTP polling system that forms the backbone of its remote access capabilities. Every five seconds, the malware sends HTTP POST requests to extracted C2 servers, querying for pending commands using the action get_commands parameter. When it receives a command, it uses the ProcessarComando() function to manage execution, starting with an anti-duplication mechanism that uses timer-based tracking to ignore repeated commands within a 30-second window.

The backdoor supports more than twenty distinct commands documented by Trend Micro. The INFO command collects comprehensive system information including OS version, CPU details, computer name, and current user. CMD and POWERSHELL commands execute Windows prompt commands and PowerShell respectively, with hidden window and bypass policies. SCREENSHOT captures a full desktop image using PowerShell and Windows Forms, saving as a timestamped PNG file. TASKLIST enumerates all running processes with PID, name, and memory usage via WMI queries, while KILL terminates processes specified by name.

File manipulation commands include LIST_FILES for directory enumeration showing files and folders with sizes, dates, and attributes up to 100 items, DOWNLOAD_FILE for downloading files from the infected system using Base64 encoding with automatic chunking for large files, UPLOAD_FILE for uploading files to the infected system with automatic directory creation and Base64 decoding, DELETE for removing files or folders with forced deletion capabilities for permission bypass, RENAME for renaming files and folders, COPY for copying files or folders with overwrite capabilities, MOVE for moving files between locations, FILE_INFO for retrieving detailed metadata, SEARCH for finding files matching specific patterns across directory trees, and CREATE_FOLDER for creating new directories.

System control commands include REBOOT for initiating immediate restart with a 30-second delay using the Windows shutdown command with force flag, and SHUTDOWN for complete system power down. UPDATE allows attackers to download and install an updated malware version from a specified URL using a batch file replacement method. CHECK_EMAIL manually triggers immediate email verification for new C2 URLs and infrastructure updates.

Maverick banking trojans and technical connections with Coyote

The Maverick malware operates as a secondary payload distributed after initial SORVEPOTEL infection. Requests to zapgrande[.]com retrieve the Maverick component, a banking trojan written in .NET specifically designed for banking activity monitoring. CyberProof's analysis identified that Maverick monitors active browser window URLs against a hardcoded list of 65 financial institutions in Latin America, with heavy concentration on Brazilian banks.

The target list documented by CyberProof includes major financial institutions such as Banco Bradesco, Itaú, Caixa Econômica Federal, Banco do Brasil, Santander, Safra, and Banrisul, as well as cryptocurrency exchanges like Binance, Mercado Bitcoin, Foxbit, and Bitcointrade. When a URL visited by the victim matches the list, Maverick invokes a core component called Maverick.Agent to establish communication with a remote server and serve fake phishing pages designed to capture credentials.

Comparative analysis conducted by CyberProof revealed notable technical similarities between Maverick and Coyote, a previously documented banking trojan that emerged in 2022. Both malware are written in .NET, target Brazilian users and banks, and feature identical functionality for decrypting target banking URLs. More significantly, they share banking application monitoring code that is practically indistinguishable between the two variants.

The encryption algorithm used by both malware is identical, employing AES combined with GZIP for decrypting banking URLs stored in Base64 format. CyberProof demonstrated through code analysis that the encryption routines, including specific AES CBC mode implementation with particular key and initialization vector (IV), are equivalent between Maverick and Coyote. This technical correspondence, combined with identical victimology and convergence of WhatsApp infection vectors, strongly suggests that Maverick may be an evolution or variant of Coyote, developed by the same group or within the same Brazilian criminal ecosystem.

The historical evolution documented by multiple research sources illustrates clear progression of tactics. In September 2022, Coyote emerged through traditional phishing campaigns, delivering ZIP files containing LNK files that executed MSI installers, eventually dropping a DLL payload to establish remote access. In June 2023, the group behind Coyote changed tactics, deploying the Squirrel ecosystem in the initial attack stage and distributing malware via spearphishing links instead of attachments. The use of NuGet packages in the second stage demonstrated an adaptable attack structure.

Major development appeared in February 2025 when Coyote expanded propagation methods to include WhatsApp Web, an unusual vector for banking trojans in the region at that time. Through automation of active WhatsApp sessions, the malware began mass-delivering ZIP files to contacts. Code obfuscation began using Donut tooling, and malicious browser extensions started monitoring user activity in Brave and Chrome browsers.

In September 2025, a self-propagating campaign emerged, which Trend Micro identified as Water Saci with SORVEPOTEL malware. The campaign stood out for malicious ZIP files like RES-20250930_112057.zip, using modular architecture that delivers distinct payloads for WhatsApp hijacking and .NET-based infostealer functionality. Notably, it featured sophisticated overlay windows that precisely mimic banking interfaces, dynamically adapting and extracting sensitive credentials seamlessly.

Malicious ZIP file downloaded from WhatsApp Web. Source: CyberProof

In October 2025, Trend Micro identified that payload delivery techniques evolved further, relying on Visual Basic Script and PowerShell-based loaders instead of .NET binaries. This script-driven approach facilitates continued propagation and evasion of traditional security controls, representing increasing technical sophistication.

Havoc Framework and campaign identified by SEK

SEK identified a campaign variant specifically targeting Brazilian companies, issuing emergency communication to clients on October 1, 2025. The operation uses apparently legitimate WhatsApp phone numbers to distribute malicious files disguised as payment receipts, exploiting the common financial context in the Brazilian corporate environment where transactions are frequently confirmed through this channel.

The attackers' strategy demonstrates sophisticated understanding of social engineering. The approach begins with a cordial greeting followed by the name or number of the person receiving the message, creating an appearance of legitimacy and familiarity. Attackers send a compressed file in ZIP format accompanied by a specific message: "Viewing permitted only on computers. If you are using the Chrome browser, you may be asked to 'Keep' the file, as it is a zipped file." This instruction was specifically designed to stimulate the victim's curiosity and encourage them to download and open the malicious file, while simultaneously conditioning the victim to accept browser security warnings.

Havoc is an open-source remote access tool that has gained popularity among cybercriminals for its versatility and ability to evade security systems. Developed by C5pider and released in 2022, the framework is written in multiple languages including Golang, C++, Qt, Python, and Assembly. In Havoc architecture, the C2 server is referred to as teamserver, while the UI dashboard used to interact with the teamserver is referred to as client. The Havoc agent, known as demon, executes on the compromised device to receive commands from the C2 server.

Havoc supports HTTP, HTTPS, and SMB protocols for transporting commands and results between the C2 server and compromised devices. The framework implements advanced evasion techniques including indirect syscalls and sleep obfuscation for antivirus and EDR bypass. Encrypted communication via HTTPS and SMB channels hides malicious activity from network monitoring tools. The modular design allows loading and executing multiple plugins and commands for specific tasks, making the framework adaptable to different environments and purposes.

Once command and control is established through Havoc, attackers can capture credentials, steal confidential information, monitor user activities, and use the compromised system as an entry point for more complex attacks on corporate infrastructure. SEK contextualized this campaign within a broader pattern of attacks against Brazilian organizations, referencing the previous Intelligence Bulletin on fake boleto scams that documented similar tactics for exploiting trust in established communication channels.

The use of legitimate WhatsApp numbers makes the campaign particularly dangerous, as victims may recognize the number and believe the message comes from a trusted source. The payment receipt context is especially effective in the Brazilian corporate environment, where financial transactions are frequently confirmed through this channel. SEK added the domains and IP addresses identified in the campaign to detection and blocking mechanisms in client environments under the company's management, demonstrating proactive response to emerging threat intelligence.

Below are the indicators of compromise identified in the Water Saci, Maverick, and Coyote campaigns. Organizations should implement preventive blocks for the listed domains and IP addresses, as well as monitor environments for known file artifacts and hashes.

Malicious Domains

Malicious IP Addresses

Malicious File Names

File Hashes

System Paths and Artifacts

C2 URLs and Endpoints

Suspicious Processes and Behaviors

The detailed analysis of the Water Saci, Maverick, and Coyote campaigns reveals significant evolution in the sophistication of cybercriminal operations targeting the Brazilian ecosystem. What started as traditional banking trojans distributed via email phishing has transformed into coordinated botnet operations capable of self-propagation through the hijacking of trust relationships established via WhatsApp. This technical progression demonstrates continuous adaptation and innovation capacity by threat actors operating in the Brazilian market.

The technical connections identified between the three operations — including identical banking monitoring code, equivalent encryption algorithms, convergent victimology, and parallel evolution of attack vectors — suggest a strong probability of activity within the same criminal ecosystem specialized in financial fraud against Brazilian institutions. Although definitive attribution to a single group remains unconfirmed, the operational similarities and shared tactics indicate technical collaboration or common origin in the Brazilian cybercrime landscape.

The precise geographic targeting, with 457 of 477 infections concentrated in Brazil, confirms strategic focus on exploiting specific characteristics of the national market: high WhatsApp adoption in corporate contexts, popularity of digital financial transactions, and trust in messaging app communications. SEK's emergency communication to clients on October 1, 2025, prior to subsequent public analyses by Trend Micro and CyberProof, demonstrates the critical importance of proactive threat intelligence capabilities for protecting Brazilian organizations.

The observed transition from compiled .NET binary files to script-based fileless attack chains represents a concerning trend that makes detection by traditional security solutions more difficult. Brazilian organizations must recognize that these threats are not static but will continue evolving in response to implemented security controls. Effective defense requires a multi-layered approach that combines robust user awareness, advanced behavioral detection technical controls, and continuous proactive monitoring supported by threat intelligence contextualized for the Brazilian landscape.

Effective defense against sophisticated WhatsApp malware campaigns requires a multi-layered strategic approach that combines organizational awareness, technical endpoint protection, continuous threat monitoring, and proactive risk management. The following recommendations are based on industry best practices and specialized capabilities available through SEK's security services.

Awareness and strengthening security culture

Employees represent simultaneously the first line of defense and the most exploited attack vector in the campaigns documented in this bulletin. The effectiveness of social engineering through WhatsApp messages from known contacts demonstrates the critical need for awareness programs that go beyond generic annual training.

Practical attack simulations via WhatsApp allow testing organizational readiness in a controlled environment, identifying employees who need training reinforcement and validating the effectiveness of established policies. Awareness metrics should be tracked continuously, including click rates on simulations, average time to report suspicious activities, and percentage of employees completing updated training.

Organizations should establish explicit policies on WhatsApp Desktop use on corporate devices, including restrictions or prohibition of automatic file downloads, validation requirements before opening ZIP files received via instant messages, and prohibition of executing VBS scripts or executable files downloaded from unverified sources. Policies should be clearly communicated, regularly reinforced, and integrated into new employee onboarding processes.

Advanced endpoint protection and behavioral detection

The fileless and script-based techniques documented in the Water Saci campaigns require detection capabilities that transcend traditional signature-based antivirus. Modern EDR (Endpoint Detection and Response) and XDR (Extended Detection and Response) solutions focus on behavioral analysis to identify malicious activities even when malware uses advanced evasion techniques.

Customized detection engineering allows creation of custom rules specific to each organization's environment, increasing detection precision without generating excessive alerts. Proactive threat hunting conducted by specialized analysts actively seeks indicators of compromise that may not generate automatic alerts, identifying advanced threats before they cause significant damage.

Organizations should implement restrictive execution policies for scripts, using AppLocker or Windows Group Policies to block execution of unsigned VBScript and PowerShell on regular user endpoints. Application whitelisting in critical environments adds an extra layer of protection, allowing execution only of explicitly approved software. Network segmentation limits malware's ability to perform lateral movement after initial compromise, containing infections to isolated perimeters.

Continuous monitoring and contextualized threat intelligence

Effective detection of sophisticated campaigns requires comprehensive visibility across multiple telemetry sources and the ability to correlate seemingly unrelated events to identify complex attack patterns.

Contextual threat intelligence adapted to the Brazilian sector and geography ensures that detections are aligned with threats actually relevant to the organization, avoiding distractions with alerts about campaigns that don't target Brazil. Specialized hunting for advanced and persistent threats proactively identifies subtle indicators of compromise that escape automated detections.

Organizations should implement preventive blocking of domains and IP addresses identified as malicious through firewalls, web proxies, and DNS filtering solutions. The list of IOCs provided in this bulletin should be immediately incorporated into security controls. HTTPS traffic analysis through SSL inspection, when appropriate and in compliance with privacy policies, allows identification of encrypted C2 communications. Integration with commercial threat intelligence feeds and IOC sharing within sector communities expands detection coverage.

Extended digital perimeter protection

Contemporary threats frequently originate outside the traditional corporate perimeter, including phishing campaigns using typosquatting domains, corporate credentials leaked in data breaches, and malicious infrastructure that spoofs legitimate organizations' identities.

Automated response enables rapid takedown of identified malicious infrastructure, minimizing the exposure window. Protection of key executives through monitoring of threats targeting high-value profiles reduces the risk of compromise through personalized spear phishing.

Third-party risk management and security posture

The documented campaigns demonstrate that compromised suppliers and business partners can serve as attack vectors through established trust relationships. Malicious messages received from legitimate business contacts have significantly higher execution probability.

Implementation of multi-factor authentication for all critical accesses, including banking systems and financial applications, adds a layer of protection even in credential compromise scenarios. Regular and tested backup of critical data ensures recovery capability in case of ransomware incidents or malicious data destruction. Incident response plans should be documented, tested through tabletop exercises, and regularly updated to reflect the evolving threat landscape.

• Trend Micro - Active Water Saci Campaign Spreading Via WhatsApp Features Multi-Vector Persistence and Sophisticated C&C
• Trend Micro - Self-Propagating Malware Spreading Via WhatsApp, Targets Brazilian Users
• CyberProof - Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans
• Sophos - WhatsApp Worm Targets Brazilian Banking Customers
• Kaspersky - Maverick Banker Distributing via WhatsApp
• The Hacker News - WhatsApp Malware 'Maverick' Hijacks Browser Sessions to Target Brazil's Biggest Banks
• The Hacker News - Researchers Warn of Self-Spreading WhatsApp Malware Named SORVEPOTEL
• The Hacker News - 131 Chrome Extensions Caught Hijacking WhatsApp Web for Massive Spam Campaign
• Dark Reading - Self-Propagating Malware Hits WhatsApp Users in Brazil
• Recorded Future News - New malware leverages WhatsApp to target Brazilian government and businesses
• SC Media - WhatsApp exploited for SORVEPOTEL malware spread
• CyberPress - New WhatsApp Worm Campaign Discovered Delivering Banking Malware for Credential Theft
• FortiGuard Labs - Dissecting a Malicious Havoc Sample
• FortiGuard Labs - Havoc: SharePoint with Microsoft Graph API turns into FUD C2
• Zscaler ThreatLabz - Havoc Across the Cyberspace
• Hunt Intelligence - Havoc Framework: Open-Source C2 Tool Analysis
• Immersive Labs - Havoc C2 Framework – A Defensive Operator's Guide
• Cymulate - Havoc C2 Framework Used To Target Government Organizations
• ReversingLabs - Open-source repository malware sows Havoc
• Global Government Fintech - Brazil's central bank looks to boost financial system security after cyberhacks
• TI Inside Online - Cybersecurity: an indispensable pillar of the financial sector in Brazil
• The World from PRX - How Brazil became one of the epicenters of cybercrime
• CyberSecurity Intelligence - Brazilian Financial Services Under Attack
• TechXplore - Police in Brazil arrest a suspect over $100M banking hack
• Segura Security - Inside Brazil's 2025 Cyberattack: Timeline and Takeaways
• InSight Crime - Kidnapping Data for Ransom Is a Booming Business in Brazil
• Dark Reading - Brazilian Authorities Arrest Members of Banking Trojan Cybercrime Group
• DeepStrike - Top 10 Most Targeted Countries for Cyber Attacks (2025)
• AIvest - C&M Software Cyber Attack Leads to R$1 Billion Theft from Brazilian Banks
• SEK - Intelligence Bulletin: Fake Boleto Scams

Brasil, como el segundo mayor mercado de WhatsApp en el mundo con 148 millones de usuarios activos, se ha convertido en un objetivo estratégico de campañas coordinadas de malware que explotan la confianza inherente en las comunicaciones a través de aplicaciones de mensajería. Desde septiembre de 2025, tres operaciones con fuertes similitudes técnicas — Water Saci, Maverick y Coyote — han estado comprometiendo empresas e instituciones brasileñas mediante técnicas sofisticadas de secuestro de sesiones de WhatsApp Web y propagación automática de troyanos bancarios.

Las campañas utilizan archivos ZIP maliciosos distribuidos por contactos previamente comprometidos, explotando la confianza en mensajes de conocidos. Una vez ejecutados, los archivos inician cadenas de infección complejas que incluyen scripts VBS y PowerShell, secuestro de perfiles legítimos de navegadores Chrome e instalación de frameworks de comando y control como Havoc. El diferencial de estas operaciones radica en su capacidad de autopropagación: los sistemas infectados envían automáticamente el malware a todos los contactos de WhatsApp de la víctima, transformando cada compromiso en un nuevo vector de diseminación.

SEK identificó estas campañas afectando organizaciones brasileñas y comunicó de emergencia a sus clientes el 1 de octubre de 2025, alertando sobre los riesgos y proporcionando orientaciones técnicas de protección. Análisis técnicos posteriores realizados por Trend Micro y CyberProof corroboraron la gravedad de la amenaza, revelando que de las 477 infecciones registradas, 457 se concentraron en territorio brasileño. Las investigaciones identificaron conexiones significativas entre las tres operaciones, sugiriendo una fuerte probabilidad de actuación dentro del mismo ecosistema criminal especializado en fraudes bancarios.

En este Boletín de Inteligencia, el equipo de Cyber Threat Intelligence de SEK consolida análisis de múltiples fuentes especializadas, presenta el detalle técnico de las campañas Water Saci, Maverick y Coyote, demuestra sus conexiones operacionales, proporciona indicadores de compromiso actualizados y ofrece recomendaciones prácticas para la defensa contra estas amenazas persistentes.

WhatsApp como vector estratégico de ataque en el ecosistema brasileño

Brasil se ha consolidado como un ambiente privilegiado para operaciones cibercriminales dirigidas al sector financiero. Con más del 90% de los hogares conectados a internet y transacciones digitales representando el 80% de las operaciones bancarias totales en el país, el escenario digital brasileño ofrece una superficie de ataque amplia y lucrativa. Datos del Instituto Nacional de Combate al Cibercrimen estiman que las pérdidas causadas por ataques cibernéticos en Brasil alcanzaron R$ 2,3 billones, mientras que las instituciones financieras brasileñas sufren un promedio de 1.774 ataques por semana por organización, superando el promedio global de 1.696 ataques.

En este contexto, WhatsApp ha emergido como el vector de ataque preferencial. Con 148 millones de usuarios activos, Brasil es el segundo mayor mercado de la plataforma a nivel global, quedando solo detrás de India. La popularidad de la aplicación trasciende el uso personal: las organizaciones brasileñas han incorporado WhatsApp como herramienta legítima de comunicación corporativa, creando un ambiente donde mensajes profesionales y personales coexisten sin distinción clara de contextos de seguridad.

SEK ya ha documentado anteriormente la evolución de tácticas de ingeniería social en el mercado brasileño, particularmente en el Boletín de Inteligencia sobre estafas de boleto falso, donde se identificaron campañas sofisticadas explotando la confianza en canales de comunicación establecidos. Las operaciones Water Saci, Maverick y Coyote representan la próxima fase de esta evolución: no solo explotan canales confiables, sino que secuestran activamente estas relaciones de confianza para propagación automatizada a escala.

Operación Water Saci: autopropagación a través de WhatsApp Web

La campaña Water Saci fue identificada por Trend Micro en octubre de 2025, tras el análisis de actividades sospechosas iniciadas el 29 de septiembre. La operación utiliza el malware SORVEPOTEL, nombre derivado de un dominio typosquatting que imita la expresión brasileña "sorvete no pote" (helado en vaso) para evasión de detección. De las 477 infecciones documentadas por Trend Micro, 457 se concentraron exclusivamente en Brasil, confirmando el targeting geográfico preciso de la campaña.

La cadena de infección inicia cuando las víctimas reciben mensajes de WhatsApp de contactos previamente comprometidos, típicamente colegas o socios comerciales, aumentando drásticamente la probabilidad de ejecución. Los mensajes contienen archivos ZIP con nomenclaturas convincentes como RES-20250930_112057.zip, ORCAMENTO_XXXXXXX.zip o COMPROVANTE_20251002_XXXXXXX.zip, simulando documentos financieros o comerciales legítimos. El mensaje acompañante instruye específicamente que el archivo debe ser abierto en desktop, dirigiendo deliberadamente el ataque hacia ambientes corporativos donde predominan los sistemas Windows.

Mensaje malicioso enviado por WhatsApp. Fuente: Trend Micro

Trend Micro documentó una evolución significativa en la cadena de ataque en octubre de 2025. Mientras las versiones iniciales utilizaban binarios .NET tradicionales, la cadena actualizada adopta un enfoque basado en scripts más sofisticado y difícil de detectar. Dentro del archivo ZIP, las víctimas encuentran no ejecutables convencionales, sino archivos VBS (Visual Basic Script) ofuscados, típicamente nombrados Orcamento.vbs. Cuando se ejecutan, estos scripts no dejan artefactos en disco, operando a través de ejecución fileless vía PowerShell.

El script VBS ofuscado emite un comando PowerShell que utiliza New-Object Net.WebClient para descarga y ejecución directa en memoria de un payload secundario, frecuentemente nombrado tadeu.ps1 o whatsapp_automation_v6_robust.ps1. Este payload se presenta falsamente como "WhatsApp Automation v6.0", enmascarando su naturaleza maliciosa. El análisis de Trend Micro reveló uso consistente de portugués en los scripts, confirmando desarrollo por actores brasileños o hablantes nativos.

La sofisticación técnica se manifiesta en la preparación del ambiente de ataque. El malware crea un workspace temporal en C:\temp, descarga la biblioteca WhatsApp automation (WA-JS) directamente del GitHub legítimo, y recupera un payload ZIP malicioso adicional (Bin.zip). Simultáneamente, verifica la versión instalada de Chrome, descarga el ChromeDriver correspondiente e instala el módulo Selenium PowerShell, estableciendo infraestructura completa para automatización de navegador.

El mecanismo de secuestro de WhatsApp Web demuestra comprensión profunda de seguridad de aplicaciones web. El malware termina todos los procesos Chrome existentes y limpia sesiones antiguas para garantizar operación limpia. Crítico para el éxito del ataque, copia datos legítimos del perfil Chrome de la víctima, incluyendo cookies, tokens de autenticación y sesiones guardadas, a su workspace temporal. Esta técnica permite bypass completo de la autenticación de WhatsApp Web sin necesidad de escaneo de código QR o alerta de seguridad, ya que el malware simplemente reutiliza credenciales legítimas ya establecidas.

Con la sesión hijacked establecida, el malware lanza Chrome con flags específicas de automatización diseñadas para evasión de detección, e inyecta la biblioteca WA-JS para control programático de WhatsApp. La recolección de contactos ocurre a través de JavaScript sofisticado que filtra patrones específicos de números mientras extrae nombres y teléfonos de todos los contactos disponibles. La lista completa es inmediatamente exfiltrada al servidor C2, proporcionando a los atacantes inteligencia valiosa sobre redes corporativas y relaciones de negocios.

Sistema de control remoto y operación coordinada de botnet

La característica más sofisticada de la operación Water Saci reside en su sistema de control remoto que transforma máquinas infectadas en una botnet coordinada. Antes de procesar cada contacto durante la propagación, el malware envía una petición GET a miportuarios[.]com/sisti/config[.]php?chave=envio_ativo. El servidor C2 responde con datos JSON conteniendo un campo "valor" configurado como "true" o "false". Cuando está configurado como "false", el malware inmediatamente pausa todas las operaciones y entra en un loop de polling que verifica el estado del servidor cada 30 segundos.

La distribución automatizada de archivos ZIP utiliza técnica de encoding Base64 para transmisión a través del sistema de mensajes de WhatsApp. El malware convierte el archivo en C:\temp\Bin.zip a Base64, genera nombres de archivo randomizados usando un prefijo configurable y ocho dígitos aleatorios (ejemplo: Orcamento-202512345678.zip), e itera a través de cada contacto recolectado. Para cada destinatario, verifica comandos remotos de pausa, personaliza mensajes de saludo sustituyendo variables de plantilla con saludos basados en horario y nombres de contactos, e inyecta JavaScript en WhatsApp Web que convierte datos Base64 de vuelta a binario, crea objetos File, y ejecuta una secuencia automatizada de tres pasos: mensaje de saludo, archivo malicioso y mensaje de cierre.

La campaña genera estadísticas detalladas incluyendo conteo de éxitos, perfiles de sistemas de víctimas y listas de objetivos contactados con éxito, enviando todos los datos de vuelta al C2. Esta inteligencia permite a los atacantes medir el rendimiento de la campaña con precisión, orquestar acciones coordinadas a través de múltiples máquinas infectadas y estrategizar ataques futuros basados en datos concretos de efectividad.

Backdoor SORVEPOTEL: persistencia y capacidades C2 avanzadas

El componente backdoor SORVEPOTEL, entregado a través del archivo Orcamento.vbs, implementa mecanismos anti-análisis comprehensivos diseñados para prevenir investigación y limitar ejecución a objetivos intencionados. El sistema de verificación de idioma garantiza ejecución solo en sistemas configurados para portugués, auto-eliminándose si detecta cualquier otro idioma. Las capacidades anti-análisis se extienden a la detección activa de herramientas de debugging y análisis, incluyendo ollydbg.exe, idaq.exe, x32dbg.exe, x64dbg.exe, windbg.exe, processhacker.exe y procmon.exe. Si cualquiera de estas herramientas es detectada, el malware emplea un mecanismo sofisticado de auto-destrucción que crea un archivo batch para eliminarse y ejecutar operaciones de limpieza.

Antes de establecer persistencia, implementa un mecanismo mutex basado en WMI para prevenir múltiples instancias simultáneas. A diferencia de objetos mutex tradicionales de Windows, utiliza enumeración de procesos WMI, consultando por procesos wscript.exe y cscript.exe y verificando sus líneas de comando por el nombre del servicio. La detección de más de una instancia resulta en exit inmediato para prevenir conflictos.

La estrategia de persistencia multi-vectorial garantiza supervivencia a través de reinicios de sistema y sesiones de usuario. La rutina de auto-instalación establece foothold a través de modificaciones en el registro y creación de tareas programadas, utilizando una copia dropped de sí mismo nombrada WinManagers.vbs guardada en C:\ProgramData\WindowsManager\. Esta ubicación, combinada con nomenclatura que imita componentes legítimos de Windows, aumenta las chances de pasar desapercibida durante inspecciones manuales.

Trend Micro documentó que además de las credenciales de email hardcoded iniciales, los atacantes utilizaron múltiples cuentas de email con diferentes dominios y contraseñas. El monitoreo reveló posteriormente la implementación de autenticación multi-factor (MFA) por los atacantes para prevenir acceso no autorizado a sus propias cuentas de email de control. Irónicamente, esta medida de seguridad introdujo retrasos operacionales, ya que cada login pasó a requerir entrada manual de código de autenticación, probablemente motivando el deployment de nuevas cuentas de email para agilizar actividades.

Una vez que el backdoor obtiene URLs de servidores C2 a través del canal de email, transiciona a un sistema agresivo de polling HTTP que forma la columna vertebral de sus capacidades de acceso remoto. Cada cinco segundos, el malware envía peticiones HTTP POST a servidores C2 extraídos, consultando por comandos pendientes usando el parámetro action get_commands. Cuando recibe un comando, utiliza la función ProcessarComando() para gestionar la ejecución, comenzando con un mecanismo anti-duplicación que usa tracking basado en timer para ignorar comandos repetidos dentro de una ventana de 30 segundos.

El backdoor soporta más de veinte comandos distintos documentados por Trend Micro. El comando INFO recolecta información comprehensiva del sistema incluyendo versión de OS, detalles de CPU, nombre del computador y usuario actual. Los comandos CMD y POWERSHELL ejecutan comandos de prompt Windows y PowerShell respectivamente, con ventana oculta y políticas de bypass. SCREENSHOT captura imagen completa del desktop usando PowerShell y Windows Forms, guardando como archivo PNG con timestamp. TASKLIST enumera todos los procesos en ejecución con PID, nombre y uso de memoria vía consultas WMI, mientras KILL termina procesos especificados por nombre.

Los comandos de manipulación de archivos incluyen LIST_FILES para enumeración de directorios mostrando archivos y carpetas con tamaños, fechas y atributos hasta 100 items, DOWNLOAD_FILE para descarga de archivos del sistema infectado usando encoding Base64 con chunking automático para archivos grandes, UPLOAD_FILE para upload de archivos al sistema infectado con creación automática de directorios y decodificación Base64, DELETE para remoción de archivos o carpetas con capacidades de eliminación forzada para bypass de permisos, RENAME para renombrar archivos y carpetas, COPY para copiar archivos o carpetas con capacidades de overwrite, MOVE para mover archivos entre ubicaciones, FILE_INFO para recuperar metadata detallada, SEARCH para buscar archivos que coincidan con patrones específicos a través de árboles de directorio, y CREATE_FOLDER para crear nuevos directorios.

Los comandos de control de sistema incluyen REBOOT para iniciar restart inmediato con delay de 30 segundos usando el comando shutdown de Windows con flag force, y SHUTDOWN para apagado completo del sistema. UPDATE permite a los atacantes descargar e instalar una versión actualizada del malware desde una URL especificada usando un método de sustitución vía archivo batch. CHECK_EMAIL dispara manualmente verificación inmediata de email para nuevas URLs C2 y actualizaciones de infraestructura.

Troyanos bancarios Maverick y conexiones técnicas con Coyote

El malware Maverick opera como payload secundario distribuido después de la infección inicial de SORVEPOTEL. Las peticiones a zapgrande[.]com recuperan el componente Maverick, un troyano bancario escrito en .NET específicamente diseñado para monitoreo de actividad bancaria. El análisis de CyberProof identificó que Maverick monitorea URLs de ventanas de navegador activas contra una lista hardcoded de 65 instituciones financieras en América Latina, con concentración pesada en bancos brasileños.

La lista de objetivos documentada por CyberProof incluye instituciones financieras principales como Banco Bradesco, Itaú, Caixa Econômica Federal, Banco do Brasil, Santander, Safra y Banrisul, además de exchanges de criptomonedas como Binance, Mercado Bitcoin, Foxbit y Bitcointrade. Cuando una URL visitada por la víctima coincide con la lista, Maverick invoca un componente core llamado Maverick.Agent para establecer comunicación con servidor remoto y servir páginas de phishing falsas diseñadas para capturar credenciales.

El análisis comparativo conducido por CyberProof reveló similitudes técnicas notables entre Maverick y Coyote, un troyano bancario previamente documentado que surgió en 2022. Ambos malware están escritos en .NET, targetean usuarios y bancos brasileños, y presentan funcionalidad idéntica para decrypt de URLs bancarias objetivo. Más significativamente, comparten código de monitoreo de aplicaciones bancarias que es prácticamente indistinguible entre las dos variantes.

El algoritmo de encriptación utilizado por ambos malware es idéntico, empleando AES combinado con GZIP para decrypt de URLs bancarias almacenadas en formato Base64. CyberProof demostró a través de análisis de código que las rutinas de encriptación, incluyendo implementación específica de modo CBC AES con clave y vector de inicialización (IV) particulares, son equivalentes entre Maverick y Coyote. Esta correspondencia técnica, sumada a la victimología idéntica y convergencia de vectores de infección vía WhatsApp, sugiere fuertemente que Maverick puede ser una evolución o variante de Coyote, desarrollada por el mismo grupo o dentro del mismo ecosistema criminal brasileño.

La evolución histórica documentada por múltiples fuentes de investigación ilustra una progresión clara de las tácticas. En septiembre de 2022, Coyote surgió a través de campañas de phishing tradicionales, entregando archivos ZIP conteniendo archivos LNK que ejecutaban instaladores MSI, eventualmente dropping payload DLL para establecer acceso remoto. En junio de 2023, el grupo detrás de Coyote cambió tácticas, deployando el ecosistema Squirrel en la etapa inicial de ataque y distribuyendo malware vía links de spearphishing en lugar de adjuntos. El uso de paquetes NuGet en la segunda etapa demostró estructura de ataque adaptable.

Un desarrollo mayor apareció en febrero de 2025 cuando Coyote expandió métodos de propagación para incluir WhatsApp Web, un vector inusual para troyanos bancarios en la región en ese momento. A través de automatización de sesiones activas de WhatsApp, el malware pasó a entregar archivos ZIP en masa a contactos. La ofuscación de código pasó a utilizar tooling Donut, y extensiones maliciosas de navegador comenzaron a monitorear actividad de usuario en navegadores Brave y Chrome.

En septiembre de 2025, surgió una campaña autopropagante, la cual Trend Micro identificó como Water Saci con malware SORVEPOTEL. La campaña se destacó por archivos ZIP maliciosos como RES-20250930_112057.zip, utilizando arquitectura modular que entrega payloads distintos para hijacking de WhatsApp y funcionalidad infostealer basada en .NET. Notablemente, presentó ventanas de overlay sofisticadas que imitan precisamente interfaces bancarias, adaptándose dinámicamente y extrayendo credenciales sensibles de forma seamless.

Archivo ZIP malicioso descargado de WhatsApp Web. Fuente: CyberProof

En octubre de 2025, Trend Micro identificó que las técnicas de entrega de payload evolucionaron aún más, dependiendo de loaders basados en Visual Basic Script y PowerShell en lugar de binarios .NET. Este enfoque script-driven facilita propagación continuada y evasión de controles de seguridad tradicionales, representando sofisticación técnica creciente.

Framework Havoc y campaña identificada por SEK

SEK identificó una variante de la campaña dirigida específicamente a empresas brasileñas, comunicando de emergencia a clientes el 1 de octubre de 2025. La operación utiliza números de teléfono WhatsApp aparentemente legítimos para distribuir archivos maliciosos disfrazados como comprobantes de pago, explotando el contexto financiero común en el ambiente corporativo brasileño donde transacciones son frecuentemente confirmadas a través de este canal.

La estrategia de los atacantes demuestra comprensión sofisticada de ingeniería social. El enfoque inicia con un saludo cordial seguido por el nombre o número de la persona recibiendo el mensaje, creando apariencia de legitimidad y familiaridad. Los atacantes envían un archivo comprimido en formato ZIP acompañado de un mensaje específico: "Visualización permitida solo en computadoras. Si está utilizando el navegador Chrome, podrá ser solicitado para 'Mantener' el archivo, por tratarse de un archivo zipado." Esta instrucción fue elaborada específicamente para estimular la curiosidad de la víctima e incentivarla a descargar y abrir el archivo malicioso, mientras simultáneamente condiciona a la víctima a aceptar warnings de seguridad del navegador.

Havoc es una herramienta de acceso remoto de código abierto que ha ganado popularidad entre cibercriminales por su versatilidad y capacidad de evasión de sistemas de seguridad. Desarrollado por C5pider y lanzado en 2022, el framework está escrito en múltiples lenguajes incluyendo Golang, C++, Qt, Python y Assembly. En la arquitectura Havoc, el servidor C2 es referido como teamserver, mientras que el dashboard UI usado para interactuar con el teamserver es referido como client. El agente Havoc, conocido como demon, ejecuta en el dispositivo comprometido para recibir comandos del servidor C2.

Havoc soporta protocolos HTTP, HTTPS y SMB para transporte de comandos y resultados entre servidor C2 y dispositivos comprometidos. El framework implementa técnicas avanzadas de evasión incluyendo syscalls indirectos y ofuscación de sleep para bypass de antivirus y EDR. La comunicación encriptada vía canales HTTPS y SMB oculta actividad maliciosa de herramientas de monitoreo de red. El diseño modular permite cargar y ejecutar múltiples plugins y comandos para tareas específicas, haciendo el framework adaptable a diferentes ambientes y propósitos.

Una vez establecido comando y control a través de Havoc, los atacantes pueden capturar credenciales, robar información confidencial, monitorear actividades del usuario y utilizar el sistema comprometido como puerta de entrada para ataques más complejos a la infraestructura corporativa. SEK contextualizó esta campaña dentro de un patrón más amplio de ataques contra organizaciones brasileñas, referenciando el Boletín de Inteligencia anterior sobre estafas de boleto falso que documentó tácticas similares de explotación de confianza en canales de comunicación establecidos.

El uso de números legítimos de WhatsApp hace la campaña particularmente peligrosa, ya que las víctimas pueden reconocer el número y creer que el mensaje proviene de una fuente confiable. El contexto de comprobantes de pago es especialmente efectivo en el ambiente corporativo brasileño, donde transacciones financieras son frecuentemente confirmadas por este canal. SEK agregó los dominios y direcciones IP identificados en la campaña a los mecanismos de detección y bloqueo en los ambientes de clientes bajo gestión de la empresa, demostrando respuesta proactiva a threat intelligence emergente.

A continuación, presentamos los indicadores de compromiso identificados en las campañas Water Saci, Maverick y Coyote. Las organizaciones deben implementar bloqueos preventivos para los dominios y direcciones IP listados, además de monitorear ambientes en busca de los artefactos de archivos y hashes conocidos.

Dominios Maliciosos

Direcciones IP Maliciosas

Nombres de Archivos Maliciosos

Hashes de Archivos

Rutas y Artefactos en el Sistema

URLs y Endpoints C2

Procesos y Comportamientos Sospechosos

El análisis detallado de las campañas Water Saci, Maverick y Coyote revela una evolución significativa en la sofisticación de operaciones cibercriminales dirigidas al ecosistema brasileño. Lo que inició como troyanos bancarios tradicionales distribuidos vía phishing por email se transformó en operaciones de botnet coordinadas capaces de autopropagación a través del secuestro de relaciones de confianza establecidas vía WhatsApp. Esta progresión técnica demuestra capacidad de adaptación e innovación continua por parte de los actores de amenazas operando en el mercado brasileño.

Las conexiones técnicas identificadas entre las tres operaciones — incluyendo código de monitoreo bancario idéntico, algoritmos de encriptación equivalentes, victimología convergente y evolución paralela de vectores de ataque — sugieren una fuerte probabilidad de actuación dentro del mismo ecosistema criminal especializado en fraudes financieros contra instituciones brasileñas. Aunque la atribución definitiva a un único grupo permanece sin confirmación, las similitudes operacionales y tácticas compartidas indican colaboración técnica u origen común en el escenario de cibercrimen brasileño.

El targeting geográfico preciso, con 457 de 477 infecciones concentradas en Brasil, confirma el foco estratégico en explotar características específicas del mercado nacional: alta adopción de WhatsApp en contextos corporativos, popularidad de transacciones financieras digitales, y confianza en comunicaciones vía aplicaciones de mensajería. La comunicación de emergencia de SEK a clientes el 1 de octubre de 2025, anterior a los análisis públicos posteriores de Trend Micro y CyberProof, demuestra la importancia crítica de capacidades proactivas de threat intelligence para protección de organizaciones brasileñas.

La transición observada de archivos binarios .NET compilados a cadenas de ataque script-based fileless representa una tendencia preocupante que dificulta la detección por soluciones de seguridad tradicionales. Las organizaciones brasileñas deben reconocer que estas amenazas no son estáticas, sino que continuarán evolucionando en respuesta a controles de seguridad implementados. La defensa efectiva requiere un enfoque multi-capas que combine concientización robusta de usuarios, controles técnicos avanzados de detección comportamental, y monitoreo proactivo continuo sustentado por inteligencia de amenazas contextualizada para el escenario brasileño.

La defensa efectiva contra campañas sofisticadas de malware vía WhatsApp requiere un enfoque estratégico multi-capas que combine concientización organizacional, protección técnica de endpoints, monitoreo continuo de amenazas y gestión proactiva de riesgos. Las recomendaciones a continuación se basan en mejores prácticas de la industria y capacidades especializadas disponibles a través de los servicios de seguridad de SEK.

Concientización y fortalecimiento de la cultura de seguridad

Los colaboradores representan simultáneamente la primera línea de defensa y el vector de ataque más explotado en las campañas documentadas en este boletín. La efectividad de la ingeniería social a través de mensajes WhatsApp de contactos conocidos demuestra la necesidad crítica de programas de concientización que vayan más allá de entrenamientos genéricos anuales.

Las simulaciones prácticas de ataques vía WhatsApp permiten probar la preparación organizacional en un ambiente controlado, identificando colaboradores que necesitan refuerzo de entrenamiento y validando la efectividad de políticas establecidas. Las métricas de concientización deben ser rastreadas continuamente, incluyendo tasas de clics en simulaciones, tiempo promedio para reporte de actividades sospechosas, y porcentaje de colaboradores completando entrenamientos actualizados.

Las organizaciones deben establecer políticas explícitas sobre uso de WhatsApp Desktop en dispositivos corporativos, incluyendo restricciones o prohibición de descarga automática de archivos, requisitos de validación antes de apertura de archivos ZIP recibidos vía mensajes instantáneos, y prohibición de ejecución de scripts VBS o archivos ejecutables descargados de fuentes no verificadas. Las políticas deben ser comunicadas claramente, reforzadas regularmente, e integradas a los procesos de onboarding de nuevos colaboradores.

Protección avanzada de endpoints y detección comportamental

Las técnicas fileless y script-based documentadas en las campañas Water Saci exigen capacidades de detección que trasciendan antivirus tradicionales basados en firmas. Las soluciones modernas de EDR (Endpoint Detection and Response) y XDR (Extended Detection and Response) se enfocan en análisis comportamental para identificar actividades maliciosas incluso cuando el malware utiliza técnicas de evasión avanzadas.

La ingeniería de detección personalizada permite la creación de reglas customizadas específicas para el ambiente de cada organización, aumentando la precisión de detección sin generar alertas excesivas. El threat hunting proactivo conducido por analistas especializados busca activamente indicadores de compromiso que pueden no generar alertas automáticas, identificando amenazas avanzadas antes de que causen daño significativo.

Las organizaciones deben implementar políticas de ejecución restrictivas para scripts, utilizando AppLocker o políticas de grupo de Windows para bloquear ejecución de VBScript y PowerShell no firmados en endpoints de usuarios comunes. El whitelisting de aplicaciones en ambientes críticos agrega una capa extra de protección, permitiendo ejecución solo de software explícitamente aprobado. La segmentación de red limita la capacidad del malware de realizar movimiento lateral después del compromiso inicial, conteniendo infecciones a perímetros aislados.

Monitoreo continuo e inteligencia de amenazas contextualizada

La detección efectiva de campañas sofisticadas requiere visibilidad comprehensiva a través de múltiples fuentes de telemetría y capacidad de correlacionar eventos aparentemente no relacionados para identificar patrones de ataque complejos.

La threat intelligence contextual adaptada al sector y geografía brasileña garantiza que las detecciones estén alineadas con amenazas realmente relevantes para la organización, evitando distracciones con alertas sobre campañas que no apuntan a Brasil. El hunting especializado por amenazas avanzadas y persistentes identifica proactivamente indicadores de compromiso sutiles que escapan de detecciones automatizadas.

Las organizaciones deben implementar bloqueo preventivo de dominios y direcciones IP identificados como maliciosos a través de firewalls, proxies web y soluciones de DNS filtering. La lista de IOCs proporcionada en este boletín debe ser incorporada inmediatamente a los controles de seguridad. El análisis de tráfico HTTPS a través de inspección SSL, cuando sea apropiado y en conformidad con políticas de privacidad, permite identificación de comunicaciones C2 encriptadas. La integración con feeds de threat intelligence comerciales y compartición de IOCs dentro de comunidades sectoriales amplía la cobertura de detección.

Protección del perímetro digital extendido

Las amenazas contemporáneas frecuentemente se originan fuera del perímetro corporativo tradicional, incluyendo campañas de phishing que utilizan dominios typosquatting, credenciales corporativas filtradas en data breaches, e infraestructura maliciosa que falsifica la identidad de organizaciones legítimas.

La respuesta automatizada permite takedown rápido de infraestructura maliciosa identificada, minimizando la ventana de exposición. La protección de ejecutivos clave a través de monitoreo de amenazas dirigidas a perfiles de alto valor reduce el riesgo de compromiso a través de spear phishing personalizado.

Gestión de riesgos de terceros y postura de seguridad

Las campañas documentadas demuestran que proveedores y socios comerciales comprometidos pueden servir como vectores de ataque a través de relaciones de confianza establecidas. Los mensajes maliciosos recibidos de contactos comerciales legítimos tienen probabilidad significativamente mayor de ejecución.

La implementación de autenticación multi-factor para todos los accesos críticos, incluyendo sistemas bancarios y aplicaciones financieras, agrega una capa de protección incluso en escenarios de compromiso de credenciales. El backup regular y probado de datos críticos garantiza capacidad de recuperación en caso de incidente de ransomware o destrucción maliciosa de datos. Los planes de respuesta a incidentes deben ser documentados, probados a través de ejercicios de tabletop, y actualizados regularmente para reflejar el escenario de amenazas en evolución.

• Trend Micro - Active Water Saci Campaign Spreading Via WhatsApp Features Multi-Vector Persistence and Sophisticated C&C
• Trend Micro - Self-Propagating Malware Spreading Via WhatsApp, Targets Brazilian Users
• CyberProof - Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans
• Sophos - WhatsApp Worm Targets Brazilian Banking Customers
• Kaspersky - Maverick Banker Distributing via WhatsApp
• The Hacker News - WhatsApp Malware 'Maverick' Hijacks Browser Sessions to Target Brazil's Biggest Banks
• The Hacker News - Researchers Warn of Self-Spreading WhatsApp Malware Named SORVEPOTEL
• The Hacker News - 131 Chrome Extensions Caught Hijacking WhatsApp Web for Massive Spam Campaign
• Dark Reading - Self-Propagating Malware Hits WhatsApp Users in Brazil
• Recorded Future News - New malware leverages WhatsApp to target Brazilian government and businesses
• SC Media - WhatsApp exploited for SORVEPOTEL malware spread
• CyberPress - New WhatsApp Worm Campaign Discovered Delivering Banking Malware for Credential Theft
• FortiGuard Labs - Dissecting a Malicious Havoc Sample
• FortiGuard Labs - Havoc: SharePoint with Microsoft Graph API turns into FUD C2
• Zscaler ThreatLabz - Havoc Across the Cyberspace
• Hunt Intelligence - Havoc Framework: Open-Source C2 Tool Analysis
• Immersive Labs - Havoc C2 Framework – A Defensive Operator's Guide
• Cymulate - Havoc C2 Framework Used To Target Government Organizations
• ReversingLabs - Open-source repository malware sows Havoc
• Global Government Fintech - Brazil's central bank looks to boost financial system security after cyberhacks
• TI Inside Online - Cybersecurity: an indispensable pillar of the financial sector in Brazil
• The World from PRX - How Brazil became one of the epicenters of cybercrime
• CyberSecurity Intelligence - Brazilian Financial Services Under Attack
• TechXplore - Police in Brazil arrest a suspect over $100M banking hack
• Segura Security - Inside Brazil's 2025 Cyberattack: Timeline and Takeaways
• InSight Crime - Kidnapping Data for Ransom Is a Booming Business in Brazil
• Dark Reading - Brazilian Authorities Arrest Members of Banking Trojan Cybercrime Group
• DeepStrike - Top 10 Most Targeted Countries for Cyber Attacks (2025)
• AIvest - C&M Software Cyber Attack Leads to R$1 Billion Theft from Brazilian Banks
• SEK - Boletín de Inteligencia: Estafas con Boletos Falsos