El naciente colectivo que combina tres destacados grupos de ciberdelincuencia, Scattered Spider, LAPSUS$ y ShinyHunters, ha creado no menos de 16 canales de Telegram desde el 8 de agosto de 2025.
«Desde su debut, los canales de Telegram del grupo se han eliminado y recreado al menos 16 veces con diferentes versiones del nombre original, un ciclo recurrente que refleja la moderación de la plataforma y la determinación de los operadores de mantener este tipo específico de presencia pública a pesar de las interrupciones», dijo Trustwave SpiderLabs, una empresa de LevelBlue, dijo en un informe compartido con The Hacker News.
Cazadores de LAPSUS$ dispersos (SLH) surgido a principios de agosto, lanzando ataques de extorsión de datos contra organizaciones, incluidas las que utilizan Salesforce en los últimos meses. La principal de sus ofertas es la extorsión como servicio (EaaS), a la que otras filiales pueden unirse para exigir un pago a los objetivos a cambio de utilizar la «marca» y la notoriedad de la entidad consolidada.
Se considera que los tres grupos están afiliados a una empresa cibercriminal muy unida y federada llamada The Com, que se caracteriza por «una colaboración fluida y el intercambio de marcas». Desde entonces, los actores de la amenaza han demostrado su asociación con otros grupos adyacentes rastreados como CriptoChameleon y Colectivo Crimson .
Telegram, según el proveedor de ciberseguridad, sigue siendo el lugar central para que sus miembros coordinen y den visibilidad a las operaciones del grupo, adoptando un estilo similar al de los grupos hacktivistas. Esto tiene un doble propósito: convertir sus canales en un megáfono para que los actores de amenazas difundan sus mensajes y comercialicen sus servicios.
«A medida que la actividad fue madurando, los puestos administrativos empezaron a incluir firmas que hacían referencia al 'Centro de operaciones del SLH/SLSH', una etiqueta autoaplicada con un peso simbólico que proyectaba la imagen de una estructura de mando organizada que daba legitimidad burocrática a unas comunicaciones que de otro modo estarían fragmentadas», señaló Trustwave.
|
| Canales de Telegram observados y períodos de actividad |
Los miembros del grupo también han utilizado Telegram para acusar a los actores estatales chinos de explotar las vulnerabilidades que supuestamente atacan y, al mismo tiempo, atacar a los organismos encargados de hacer cumplir la ley de EE. UU. y el Reino Unido. Además, se ha descubierto que invitan a los suscriptores del canal a participar en campañas de presión encontrando las direcciones de correo electrónico de altos ejecutivos y enviándoles correos electrónicos sin descanso a cambio de un pago mínimo de 100 dólares.
A continuación se enumeran algunos de los grupos de amenazas conocidos que forman parte de la tripulación, destacando una alianza cohesionada que reúne a varios grupos semiautónomos dentro de la red The Com y sus capacidades técnicas bajo un mismo paraguas:
- Shinycorp (también conocido como sp1d3rhunters), que actúa como coordinador y gestiona la percepción de la marca
- UNC5537 (vinculado a la campaña de extorsión de Snowflake)
- UNC3944 (asociado a Scattered Spider)
- UNC6040 (vinculado a la reciente campaña de vishing de Salesforce)
También forman parte del grupo identidades como Rey y SLSHSupport, que son responsables de mantener la participación, junto con Yuka (también conocida como Yukari o Cvsp), que tiene un historial de desarrollo de exploits y se presenta como un agente de acceso inicial (IAB).
|
| Personas administrativas y afiliadas consolidadas |
Si bien el robo de datos y la extorsión siguen siendo el pilar de Scattered LAPSUS$ Hunters, los actores de amenazas han insinuado que una familia de ransomware personalizada llamada Sh1nySp1d3r (también conocido como ShinySp1d3r) podría competir con LockBit y Fuerza del dragón , lo que sugiere posibles operaciones de ransomware en el futuro.
Trustwave ha caracterizado a los actores de amenazas como posicionados en algún lugar del espectro de la ciberdelincuencia por motivos financieros y el hacktivismo centrado en la atención, ya que combina incentivos monetarios y validación social para impulsar sus actividades.
«A través de la marca teatral, el reciclaje reputacional, la amplificación multiplataforma y la gestión de la identidad por capas, los actores detrás de SLH han demostrado una comprensión madura de cómo la percepción y la legitimidad pueden convertirse en armas en el ecosistema de la ciberdelincuencia», añadió.
«En conjunto, estos comportamientos ilustran una estructura operativa que combina la ingeniería social, el desarrollo de exploits y la guerra narrativa, una combinación más característica de los actores clandestinos establecidos que de los recién llegados oportunistas».
Cartelización de otro tipo
La revelación se produce cuando Acronis reveló que los actores de amenazas detrás de DragonForce han lanzado una nueva variante de malware que utiliza controladores vulnerables como truesight.sys y rentdrv2.sys (parte de Bad RentDR V2 ) para deshabilitar el software de seguridad y terminar los procesos protegidos como parte de un controlador vulnerable trae tu propio controlador ( POR OVD ) atacar.
DragonForce, que lanzado un cártel de ransomware a principios de este año, desde entonces también se asoció con Qilin y LockBit en un intento de «facilitar el intercambio de técnicas, recursos e infraestructura» y reforzar sus propias capacidades individuales.
«Los afiliados pueden implementar su propio malware mientras utilizan la infraestructura de DragonForce y operan bajo su propia marca», afirman los investigadores de Acronis dijo . «Esto reduce la barrera técnica y permite que tanto los grupos establecidos como los nuevos actores ejecuten sus operaciones sin crear un ecosistema de ransomware completo».
El grupo de ransomware, según la empresa con sede en Singapur, está alineado con Scattered Spider, y este último funciona como una filial para atacar objetivos de interés mediante sofisticadas técnicas de ingeniería social como el spear-phishing y el vishing, y luego desplegando herramientas de acceso remoto como ScreenConnect, AnyDesk, TeamViewer y Splashtop para realizar un extenso reconocimiento antes de lanzar DragonForce.
«DragonForce usó el código fuente filtrado por Conti para forjar un oscuro sucesor diseñado para llevar su propia marca», dijo. «Si bien otros grupos hicieron algunos cambios en el código para darle un giro diferente, DragonForce mantuvo todas sus funciones inalteradas y solo añadió una configuración cifrada en el ejecutable para eliminar los argumentos de línea de comandos que se utilizaban en el código Conti original».