Mandiant, propiedad de Google, dijo el viernes que identificó una «expansión en la actividad de amenazas» que utiliza técnicas consistentes con ataques con temas de extorsión orquestados por un grupo de hackers con motivación financiera conocido como ShinyHunters.
Los ataques aprovechan el phishing de voz avanzado (también conocido como vishing) y sitios falsos de recolección de credenciales que imitan a las empresas objetivo para obtener acceso no autorizado a los entornos de las víctimas mediante la recopilación de credenciales de inicio de sesión (SSO) y códigos de autenticación multifactor (MFA).
El objetivo final de los ataques es apuntar a aplicaciones de software como servicio (SaaS) basadas en la nube para desviar datos confidenciales y comunicaciones internas y extorsionar a las víctimas.
El equipo de inteligencia de amenazas del gigante tecnológico dijo que está rastreando la actividad en múltiples grupos, incluidos UNC6661, UNC6671 y UNC6240 (también conocido como ShinyHunters), para tener en cuenta la posibilidad de que estos grupos puedan estar evolucionando su modus operandi o imitando tácticas observadas previamente.
«Si bien esta metodología de apuntar a proveedores de identidad y plataformas SaaS es consistente con nuestras observaciones previas de la actividad de amenazas que preceden a la extorsión de la marca ShinyHunters, la variedad de plataformas en la nube específicas continúa expandiéndose a medida que estos actores de amenazas buscan datos más confidenciales para la extorsión», señaló Mandiant.
«Además, parecen estar intensificando sus tácticas de extorsión con incidentes recientes, incluido el acoso al personal de las víctimas, entre otras tácticas».
Los detalles de la actividad de vishing y robo de credenciales son los siguientes:
- Se ha observado que UNC6661 se hace pasar por personal de TI en llamadas a empleados de organizaciones víctimas específicas, dirigiéndolos a enlaces de recolección de credenciales con el pretexto de indicarles que actualicen su configuración de autenticación multifactor (MFA). La actividad se registró entre principios y mediados de enero de 2026.
- Las credenciales robadas luego se utilizan para registrar su propio dispositivo para MFA y luego moverse lateralmente a través de la red para extraer datos de las plataformas SaaS. En al menos un caso, el actor de amenazas utilizó su acceso a cuentas de correo electrónico comprometidas como arma para enviar más correos electrónicos de phishing a contactos de empresas centradas en criptomonedas. Posteriormente, los correos electrónicos fueron eliminados para tapar las pistas. A esto le sigue la actividad de extorsión realizada por UNC6240.
- También se ha identificado que UNC6671 se hace pasar por personal de TI para engañar a las víctimas como parte de los esfuerzos para obtener sus credenciales y códigos de autenticación MFA en sitios de recolección de credenciales de marca de la víctima desde principios de enero de 2026. Al menos en algunos casos, los actores de amenazas obtuvieron acceso a las cuentas de los clientes de Okta. UNC6671 también ha aprovechado PowerShell para descargar datos confidenciales desde SharePoint y OneDrive.
- Las diferencias entre UNC6661 y UNC6671 se relacionan con el uso de diferentes registradores de dominios para registrar los dominios de recolección de credenciales (NICENIC para UNC6661 y Tucows para UNC6671), así como el hecho de que un correo electrónico de extorsión enviado después de la actividad de UNC6671 no se superpuso con los indicadores conocidos de UNC6240.
- Esto indica que pueden estar involucrados diferentes grupos de personas, lo que ilustra la naturaleza amorfa de estos grupos de ciberdelincuentes. Es más, el ataque a empresas de criptomonedas sugiere que los actores de la amenaza también pueden estar buscando explorar otras vías para obtener ganancias financieras.
Para contrarrestar la amenaza que representan las plataformas SaaS, Google ha descrito una larga lista de recomendaciones de protección, registro y detección:
- Mejorar los procesos de la mesa de ayuda, incluido el requisito de que el personal solicite una videollamada en vivo para verificar su identidad.
- Limitar el acceso a puntos de salida y ubicaciones físicas confiables; hacer cumplir contraseñas seguras; y eliminar SMS, llamadas telefónicas y correos electrónicos como métodos de autenticación
- Restrinja el acceso al plano de administración, audite los secretos expuestos y aplique controles de acceso a los dispositivos
- Implemente el registro para aumentar la visibilidad de las acciones de identidad, las autorizaciones y los comportamientos de exportación de SaaS.
- Detectar la inscripción de dispositivos MFA y los cambios en el ciclo de vida de MFA; busque eventos de autorización de aplicaciones/OAuth que sugieran actividad de manipulación del buzón mediante utilidades como ToogleBox Email Recall, o eventos de identidad que ocurran fuera del horario comercial normal
«Esta actividad no es el resultado de una vulnerabilidad de seguridad en los productos o la infraestructura de los proveedores», dijo Google. «En cambio, continúa resaltando la efectividad de la ingeniería social y subraya la importancia de que las organizaciones avancen hacia MFA resistente al phishing siempre que sea posible. Métodos como las claves de seguridad o claves de acceso FIDO2 son resistentes a la ingeniería social de maneras que la autenticación basada en push o SMS no lo son».