Mandiant, propiedad de Google, el viernes dijo identificó una «expansión de la actividad de amenazas» que utiliza técnicas comerciales consistentes con ataques con temática extorsión orquestados por un grupo de hackers con motivaciones financieras conocido como ShinyHunters.

Los ataques aprovechan la tecnología avanzada phishing por voz (también conocidos como vishing) y sitios de recopilación de credenciales falsas que imitan a las empresas objetivo para obtener acceso no autorizado a los entornos de las víctimas mediante la recopilación de credenciales de inicio de sesión (SSO) y códigos de autenticación multifactor (MFA).

El objetivo final de los ataques es atacar las aplicaciones de software como servicio (SaaS) basadas en la nube para extraer datos confidenciales y comunicaciones internas y extorsionar a las víctimas.

El equipo de inteligencia de amenazas del gigante tecnológico dijo que está rastreando la actividad en varios grupos, incluidos UNC6661, UNC6671 y UNC6240 (también conocidos como ShinyHunters), para tener en cuenta la posibilidad de que estos grupos estén evolucionando su modus operandi o imitando las tácticas observadas anteriormente.

«Si bien esta metodología para atacar a los proveedores de identidad y las plataformas SaaS es coherente con nuestras observaciones anteriores sobre la actividad de amenazas que precedió a la extorsión con la marca ShinyHunters, la variedad de plataformas en la nube objetivo sigue ampliándose a medida que estos actores de amenazas buscan datos más confidenciales para extorsionar», señaló Mandiant.

«Además, parecen estar intensificando sus tácticas de extorsión con los recientes incidentes, incluido el acoso al personal víctima, entre otras tácticas».

Los detalles de la actividad de pesca y robo de credenciales son los siguientes:

  • Se ha observado que la UNC6661 se hace pasar por personal de TI en llamadas a empleados de organizaciones víctimas específicas, dirigiéndolos a enlaces de recolección de credenciales con el pretexto de pedirles que actualicen su configuración de autenticación multifactor (MFA). La actividad se registró entre principios y mediados de enero de 2026.
  • Las credenciales robadas se utilizan luego para registrar su propio dispositivo para MFA y, a continuación, se mueven lateralmente a través de la red para extraer los datos de las plataformas SaaS. En al menos un caso, el autor de la amenaza utilizó como arma su acceso a cuentas de correo electrónico comprometidas para enviar más correos electrónicos de suplantación de identidad a contactos de empresas que se dedican a las criptomonedas. Posteriormente, los correos electrónicos se eliminaron para ocultar las huellas. A esto le sigue la actividad de extorsión llevada a cabo por la UNC6240.
  • También se ha identificado que la UNC6671 se hizo pasar por personal de TI para engañar a las víctimas como parte de los esfuerzos por obtener sus credenciales y códigos de autenticación de MFA en los sitios de recolección de credenciales con la marca de la víctima desde principios de enero de 2026. Al menos en algunos casos, los atacantes accedieron a las cuentas de los clientes de Okta. UNC6671 también ha aprovechado PowerShell para descargar datos confidenciales de SharePoint y OneDrive.
  • Las diferencias entre UNC6661 y UNC6671 se refieren al uso de diferentes registradores de dominios para registrar los dominios de recolección de credenciales (NICENIC para UNC6661 y Tucows para UNC6671), así como al hecho de que un correo electrónico de extorsión enviado tras la actividad de la UNC6671 no se superpuso con los indicadores conocidos de la UNC6240.
  • Esto indica que pueden estar involucrados diferentes grupos de personas, lo que ilustra la naturaleza amorfa de estos grupos de ciberdelincuencia. Además, los ataques dirigidos contra las empresas de criptomonedas sugieren que los actores de las amenazas también podrían estar buscando nuevas vías para obtener beneficios financieros.

Para contrarrestar la amenaza que representan las plataformas SaaS, Google ha esbozado una larga lista de recomendaciones de endurecimiento, registro y detección -

  • Mejore los procesos de la mesa de ayuda, incluida la obligación del personal de solicitar una videollamada en directo para verificar su identidad
  • Limite el acceso a puntos de salida y ubicaciones físicas confiables; aplique contraseñas seguras y elimine los SMS, las llamadas telefónicas y el correo electrónico como métodos de autenticación
  • Restrinja el acceso al plano de administración, audite los secretos expuestos y aplique los controles de acceso a los dispositivos
  • Implemente el registro para aumentar la visibilidad de las acciones de identidad, las autorizaciones y los comportamientos de exportación de SaaS
  • Detecte la inscripción de dispositivos de MFA y los cambios en el ciclo de vida de la MFA; busque eventos de autorización de aplicaciones o OAuth que sugieran una actividad de manipulación de buzones mediante utilidades como Recuperación de correo electrónico de ToogleBox , o eventos de identidad que ocurren fuera del horario laboral normal

«Esta actividad no es el resultado de una vulnerabilidad de seguridad en los productos o la infraestructura de los proveedores», dijo Google. «Por el contrario, sigue destacando la eficacia de la ingeniería social y subraya la importancia de que las organizaciones opten por una MFA resistente a la suplantación de identidad siempre que sea posible. Los métodos como las claves de seguridad o las claves de acceso FIDO2 son resistentes a la ingeniería social, pero la autenticación automática o la autenticación por SMS no lo son».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.