El notorio colectivo de ciberdelincuencia conocido como Cazadores de LAPSUS$ dispersos (SLH) se ha observado que ofrece incentivos financieros para reclutar mujeres para llevar a cabo ataques de ingeniería social.

La idea es contratarlos para campañas de suplantación de identidad por voz dirigidas a los servicios de ayuda de TI, afirma Dataminr en un nuevo informe sobre amenazas. Se dice que el grupo ofrece entre 500 y 1000 dólares por adelantado por llamada, además de proporcionarles los guiones preescritos necesarios para llevar a cabo el ataque.

«SLH está diversificando su grupo de ingeniería social contratando específicamente a mujeres para llevar a cabo ataques de vishing, lo que probablemente aumentará la tasa de éxito de la suplantación de identidad en el servicio de asistencia», dijo la firma de inteligencia de amenazas dijo .

UN supergrupo de ciberdelincuencia de alto perfil compuesto por LAPSUS$, Scattered Spider y ShinyHunters, SLH tiene un historial de ataques avanzados de ingeniería social para eludir la autenticación multifactor (MFA) mediante técnicas como Bombardeo inmediato de la MFA e intercambio de tarjetas SIM.

adsense

El modus operandi del grupo también implica atacar los servicios de asistencia y los centros de llamadas para atacar a las empresas haciéndose pasar por empleados y convencerlas de que restablezcan una contraseña o instalen una herramienta de supervisión y gestión remotas (RMM) que les conceda acceso remoto. Una vez obtenido el acceso inicial, Scattered Spider ha sido observado trasladarse lateralmente a entornos virtualizados, aumentar los privilegios y filtrar datos corporativos confidenciales.

Algunos de estos ataques han llevado además al despliegue de ransomware. Otro sello distintivo de estos ataques es el uso de servicios legítimos y redes de proxy residenciales (por ejemplo, Luminati y OxyLabs) para mezclarse y evitar ser detectados. Los actores de Scattered Spider han utilizado varias herramientas de construcción de túneles, como Ngrok, Teleport y Pinggy, así como servicios gratuitos para compartir archivos como file.io, gofile.io, mega.nz y transfer.sh.

En un informe publicado a principios de este mes, la Unidad 42 de Palo Alto Networks, que está rastreando a Scattered Spider con el nombre de Muddled Libra, describió al actor de amenazas como «muy competente en explotar la psicología humana» al hacerse pasar por empleados para intentar restablecer la autenticación multifactor (MFA) y contraseñas.

En al menos un caso investigado por la empresa de ciberseguridad en septiembre de 2025, se afirma que Scattered Spider creó y utilizó una máquina virtual (VM) tras obtener credenciales privilegiadas al llamar al servicio de asistencia de TI y, a continuación, utilizarla para realizar un reconocimiento (por ejemplo, una enumeración de Active Directory) e intentar filtrar los archivos del buzón de correo de Outlook y los datos descargados de la base de datos Snowflake del objetivo.

«Si bien se centra en el compromiso de identidad y la ingeniería social, este actor de amenazas aprovecha las herramientas legítimas y la infraestructura existente para integrarse», Unidad 42 dijo . «Operan silenciosamente y mantienen la persistencia».

enlaces

La empresa de ciberseguridad también apuntado que Scattered Spider tiene un «extenso historial» de atacar entornos de Microsoft Azure mediante la API Graph para facilitar el acceso a los recursos en la nube de Azure. El grupo también utiliza herramientas de enumeración en la nube, como Adrecon para el reconocimiento de Active Directory.

Dado que la ingeniería social se está convirtiendo en el principal punto de entrada para el grupo de ciberdelincuencia, se recomienda a las organizaciones que estén alertas y capaciten al personal de soporte y asistencia de TI para que presten atención a los guiones preescritos y a la suplantación de voz refinada, apliquen una verificación de identidad estricta, refuercen las políticas de MFA abandonando la autenticación basada en SMS y auditen los registros para la creación de nuevos usuarios o el escalamiento de privilegios administrativos tras las interacciones del servicio de asistencia técnica.

«Esta campaña de contratación representa una evolución calculada de las tácticas de SLH», afirma Dataminr. «Al buscar específicamente voces femeninas, es probable que el grupo pretenda eludir los perfiles «tradicionales» de atacantes, que el personal del servicio de asistencia de TI podría estar capacitado para identificar, aumentando así la eficacia de sus iniciativas de suplantación de identidad».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.