Una campaña de extorsión de datos en curso que se dirige a los clientes de Salesforce pronto puede centrar su atención en los proveedores de servicios financieros y servicios de tecnología, ya que Shinyhunters y Spure Spider parecen estar trabajando de la mano, según muestran nuevos hallazgos.
«Esta última ola de ataques atribuidos con brillo revela un cambio dramático en las tácticas, que va más allá del robo de credenciales anterior del grupo y la explotación de la base de datos», dijo Reliaquest en un informe compartido con The Hacker News.
Estos incluyen el uso de la adopción de tácticas que reflejan las de las arañas dispersas, como los ataques de ingeniería de Vishing (también conocido como Phishing) y de ingeniería, aprovechando las aplicaciones que se disfrazan de herramientas legítimas, empleando páginas phishing con temas de OKTA para engañar a las víctimas para ingresar a las credenciales durante la apariencia y la obfusión de VPN para la exfiltración de datos.
Shinyhunters, que surgió por primera vez en 2020, es un grupo de amenazas de motivación financiera que ha orquestado una serie de violaciones de datos dirigidas a las principales corporaciones y monetizándolas en foros de delitos cibernéticos como Raidforums e incumplimientos. Curiosamente, la persona Shinyhunters ha sido un participante clave en estas plataformas como colaborador y administrador.
«La persona de Shinyhunters se asoció con Baphomet para relanzar la segunda instancia de Breachforums (V2) en junio de 2023 y luego lanzó solo la instancia de junio de 2025 (V4)», señaló Sophos en un informe reciente. «La versión interina (V3) desapareció abruptamente en abril de 2025, y la causa no está clara».
Si bien el relanzamiento del foro fue de corta duración y el tablón de anuncios se desconectó alrededor del 9 de junio, el actor de amenaza ha sido vinculado a ataques dirigidos a las instancias de la fuerza de ventas a nivel mundial, un grupo de actividad relacionada con la extorsión que Google está rastreando bajo el moniker UNC6240.
Coincidiendo con estos desarrollos fue el arresto de cuatro individuos sospechosos de correr violaciones, incluidas las autoridades policiales francesas. Sin embargo, el actor de amenaza le dijo a DatabReaches.net que «Francia se apresuró a hacer arrestos falsos e inexactos», lo que aumenta la posibilidad de que un miembro «asociado» haya sido atrapado.
Y eso no es todo. El 8 de agosto, surgió un nuevo canal de telegrama que combina a Shinyhunters, Spiders Spider y Lapsus $ llamado «Lapsu $ cazadores dispersos», con los miembros del canal que también afirman desarrollar una solución de ransomware como servicio llamada ShinySP1D3R que dijeron que rivalizarán Lockbit y Dragonorce. Tres días después, el canal desapareció.
Tanto la araña dispersa como Lapsus $ tienen vínculos con un colectivo nebuloso más amplio y nebuloso denominado COM, una notoria red de cibercriminales experimentados de habla inglesa que se sabe que participa en una amplia gama de actividades maliciosas, incluyendo intercambio de SIM, extorsión y crimen físico.
Reliaquest dijo que ha identificado un conjunto coordinado de dominios de phishing de boletos y páginas de recolección de credenciales de Salesforce que probablemente se crean para campañas similares que se dirigen a la fuerza de ventas que están dirigidas a empresas de alto perfil en diversas verticales de la industria.
Estos dominios, dijo la compañía, se registraron utilizando infraestructura típicamente asociada con kits de phishing comúnmente utilizados para alojar páginas de inicio de sesión de inicio de sesión único (SSO), un sello distintivo de los ataques de Spider dispersos que se hacen pasar por páginas de inicio de sesión de OKTA.
Además, un análisis de más de 700 dominios registrados en 2025 que coinciden con los patrones de phishing de araña dispersos ha revelado que los registros de dominios dirigidos a las compañías financieras han aumentado en un 12% desde julio de 2025, mientras que la orientación de las empresas de tecnología ha disminuido en un 5%, lo que sugiere que los bancos, las compañías de seguros y los servicios financieros podrían ser la próxima.
Dejando a un lado la superposición táctica de que los dos grupos pueden estar colaborando se confirma por el hecho de que se han dirigido a los mismos sectores (es decir, minorista, seguro y aviación) casi al mismo tiempo.
«Apoyar esta teoría es evidencia como la aparición de un usuario de BreachForums con los alias ‘SP1D3RHunters’, que estuvo vinculado a una violación de ShinyHunters pasada, así como los patrones de registro de dominio superpuestos», dijeron los investigadores Kimberley Bromley e Ivan Righi, y agregó que la cuenta se creó en mayo de 2024.
«Si estas conexiones son legítimas, sugieren que la colaboración o la superposición entre Shinyhunters y la araña dispersa pueden haber estado en curso durante más de un año. El momento sincronizado y la orientación similar de estos ataques anteriores respaldan fuertemente la probabilidad de esfuerzos coordinados entre los dos grupos».