12 de agosto de 2025 — Ravie Lakshmanan | Cibercrimen / Seguridad Financiera

Una campaña activa de extorsión de datos dirigida a clientes de Salesforce podría pronto enfocar sus ataques hacia proveedores de servicios financieros y tecnológicos, ya que ShinyHunters y Scattered Spider parecen estar colaborando estrechamente, según nuevos hallazgos.

“Esta última oleada de ataques atribuidos a ShinyHunters revela un cambio drástico en sus tácticas, yendo más allá del robo de credenciales y la explotación de bases de datos que habían caracterizado su actividad anterior”, señaló ReliaQuest en un informe compartido con The Hacker News.

Entre estas nuevas tácticas, adoptadas en parte de Scattered Spider, se incluyen:

• Vishing (phishing por voz) y ataques de ingeniería social altamente dirigidos.
• Uso de aplicaciones falsas que se hacen pasar por herramientas legítimas.
• Páginas de phishing con temática de Okta para robar credenciales durante llamadas de vishing.
• Ocultamiento de actividad en redes privadas virtuales (VPN) para exfiltrar datos.

Antecedentes de ShinyHunters

ShinyHunters, activo desde 2020, es un grupo de ciberamenazas con motivación financiera que ha orquestado numerosas brechas de datos contra grandes corporaciones, monetizando la información en foros clandestinos como RaidForums y BreachForums. Además de ser un participante clave en estos foros, el alias “ShinyHunters” ha actuado como contribuidor y administrador.

En junio de 2023, ShinyHunters relanzó junto con Baphomet la segunda versión de BreachForums (v2) y, posteriormente, lanzó la versión v4 en junio de 2025. La versión intermedia (v3) desapareció abruptamente en abril de 2025 por razones desconocidas.

Aunque la reactivación del foro fue breve y la plataforma cerró alrededor del 9 de junio, el grupo ha sido vinculado a ataques contra instancias de Salesforce a nivel global, una serie de actividades de extorsión que Google rastrea bajo el nombre UNC6240.

En paralelo, autoridades francesas arrestaron a cuatro personas presuntamente involucradas en la gestión de BreachForums, incluido ShinyHunters. Sin embargo, el propio actor negó los cargos y afirmó que se trató de arrestos “falsos e inexactos”, insinuando que podría haberse detenido a un asociado.

Escalada y Nuevos Movimientos

El 8 de agosto surgió un canal de Telegram llamado “scattered lapsu$ hunters”, que vinculaba a ShinyHunters, Scattered Spider y LAPSUS$. En él, los miembros afirmaban estar desarrollando un ransomware-as-a-service llamado ShinySp1d3r, destinado a competir con grupos como LockBit y DragonForce. El canal desapareció tres días después.

Tanto Scattered Spider como LAPSUS$ forman parte de una red más amplia conocida como The Com, un colectivo de ciberdelincuentes de habla inglesa implicado en actividades que van desde el SIM swapping y la extorsión hasta delitos físicos.

ReliaQuest ha identificado un conjunto de dominios de phishing con temática de “tickets” y páginas fraudulentas para recolección de credenciales de Salesforce, aparentemente diseñadas para campañas similares dirigidas a grandes empresas de diversos sectores.

Riesgo para la Seguridad de Identidad

Estos dominios fueron registrados usando infraestructura comúnmente empleada en kits de phishing que alojan páginas falsas de inicio de sesión de sistemas SSO (single sign-on), una táctica característica de Scattered Spider al suplantar páginas de Okta.

El análisis de más de 700 dominios registrados en 2025 que siguen patrones de phishing de Scattered Spider reveló que:

• Los registros dirigidos a empresas financieras aumentaron un 12% desde julio de 2025.
• Los dirigidos a empresas tecnológicas disminuyeron un 5%.

Esto sugiere que bancos, aseguradoras y firmas de servicios financieros podrían convertirse en los próximos objetivos.

Evidencias de Colaboración

La coincidencia táctica se refuerza con el hecho de que ambos grupos han atacado sectores como el minorista, el de seguros y el de aviación de forma simultánea.

“Respaldan esta teoría pruebas como la aparición en BreachForums de un usuario con el alias ‘Sp1d3rHunters’, vinculado a una filtración previa de ShinyHunters, así como patrones coincidentes en el registro de dominios”, explicaron los investigadores Kimberley Bromley e Ivan Righi.

Si estas conexiones son legítimas, indican que la colaboración o superposición entre ShinyHunters y Scattered Spider podría haberse mantenido por más de un año. La sincronización y similitud en sus objetivos apuntan con fuerza a esfuerzos coordinados.

Fuente:: https://thehackernews.com/2025/08/cybercrime-groups-shinyhunters.html