El famoso colectivo de cibercrimen conocido como Cazadores dispersos de LAPSUS$ (SLH) ha sido observado ofreciendo incentivos financieros para reclutar mujeres para llevar a cabo ataques de ingeniería social.
La idea es contratarlos para campañas de phishing de voz dirigidas a los servicios de asistencia técnica de TI, dijo Dataminr en un nuevo informe sobre amenazas. Se dice que el grupo ofrece entre 500 y 1.000 dólares por adelantado por llamada, además de proporcionarles los guiones escritos previamente necesarios para llevar a cabo el ataque.
«SLH está diversificando su grupo de ingeniería social al reclutar específicamente mujeres para llevar a cabo ataques de vishing, lo que probablemente aumentará la tasa de éxito de la suplantación de la mesa de ayuda», dijo la firma de inteligencia de amenazas.
SLH, un supergrupo de cibercrimen de alto perfil compuesto por LAPSUS$, Scattered Spider y ShinyHunters, tiene un historial de participar en ataques avanzados de ingeniería social para eludir la autenticación multifactor (MFA) a través de técnicas como el bombardeo rápido de MFA y el intercambio de SIM.
El modus operandi del grupo también implica apuntar a las mesas de ayuda y centros de llamadas para violar a las empresas haciéndose pasar por empleados y convencerlos de restablecer una contraseña o instalar una herramienta de administración y monitoreo remoto (RMM) que les otorga acceso remoto. Una vez que se obtiene el acceso inicial, se ha observado que Scattered Spider se mueve lateralmente hacia entornos virtualizados, aumenta sus privilegios y extrae datos corporativos confidenciales.
Algunos de estos ataques han llevado además a la implementación de ransomware. Otro sello distintivo de estos ataques es el uso de servicios legítimos y redes de proxy residenciales (por ejemplo, Luminati y OxyLabs) para camuflarse y evadir la detección. Los actores de Scattered Spider han utilizado varias herramientas de tunelización como Ngrok, Teleport y Pinggy, así como servicios gratuitos para compartir archivos como file.io, gofile.io, mega.nz y transfer.sh.
 |
| Publicación de Telegram de SLH para reclutar mujeres |
En un informe publicado a principios de este mes, la Unidad 42 de Palo Alto Networks, que está rastreando a Scattered Spider bajo el nombre de Muddled Libra, describió al actor de amenazas como «altamente competente en explotar la psicología humana» haciéndose pasar por empleados para intentar restablecer la contraseña y la autenticación multifactor (MFA).
 |
| Cadena de ataque de araña dispersa |
En al menos un caso investigado por la empresa de ciberseguridad en septiembre de 2025, se dice que Scattered Spider creó y utilizó una máquina virtual (VM) después de obtener credenciales privilegiadas llamando al servicio de asistencia de TI y luego la usó para realizar un reconocimiento (por ejemplo, enumeración de Active Directory) e intentar extraer archivos del buzón de correo de Outlook y datos descargados de la base de datos Snowflake del objetivo.
«Mientras se centra en el compromiso de la identidad y la ingeniería social, este actor de amenazas aprovecha herramientas legítimas y la infraestructura existente para integrarse», dijo la Unidad 42. «Operan silenciosamente y mantienen la perseverancia».
La empresa de ciberseguridad también señaló que Scattered Spider tiene un «amplio historial» de apuntar a entornos de Microsoft Azure utilizando Graph API para facilitar el acceso a los recursos de la nube de Azure. El grupo también utiliza herramientas de enumeración en la nube, como ADRecon para el reconocimiento de Active Directory.
Dado que la ingeniería social está emergiendo como el principal punto de entrada para el grupo de delitos cibernéticos, se recomienda a las organizaciones que estén alerta y capaciten al personal de asistencia técnica y de soporte de TI para que estén atentos a los guiones escritos previamente y a las suplantaciones de voz pulidas, apliquen una estricta verificación de identidad, endurezcan las políticas de MFA alejándose de la autenticación basada en SMS y auditen los registros para la creación de nuevos usuarios o la escalada de privilegios administrativos después de las interacciones con la mesa de ayuda.
«Esta campaña de reclutamiento representa una evolución calculada en las tácticas de SLH», afirmó Dataminr. «Al buscar específicamente voces femeninas, el grupo probablemente apunta a eludir los perfiles ‘tradicionales’ de los atacantes que el personal de la mesa de ayuda de TI puede estar capacitado para identificar, aumentando así la efectividad de sus esfuerzos de suplantación».
Actualizar
En un análisis de seguimiento publicado el 26 de febrero de 2026, ReliaQuest dijo que observó que el grupo de extorsión ShinyHunters probablemente estaba cambiando a la suplantación de subdominios de marca combinada con phishing en vivo, guiado por teléfono, adversario en el medio (AiTM) y señuelos móviles después de que el operador llama al usuario final usando un servicio de asistencia técnica o un pretexto de soporte. Esto incluye registrar dominios que sigan el formato: «
También se dice que el grupo posiblemente esté reutilizando registros de software como servicio (SaaS) ya expuestos para crear pretextos convincentes e identificar a la «siguiente mejor» persona para llevar a cabo ataques de ingeniería social y crear un bucle de acceso repetible. Esto conduce a un rápido compromiso de identidad a SaaS, lo que permite una única sesión de SSO válida o un restablecimiento del servicio de asistencia técnica para permitir un amplio acceso a datos confidenciales sin eliminar malware personalizado.
«Es muy probable que se trate de un alejamiento deliberado del uso de dominios similares recién registrados hacia un enfoque que puede eludir los controles tradicionales de ‘nuevos dominios'», dijo ReliaQuest. «Dos desarrollos paralelos acortan aún más el tiempo de impacto del grupo: señuelos diseñados pensando en los usuarios móviles (reduciendo la visibilidad en el monitoreo de la red empresarial y el filtrado web) y la subcontratación criminal paga (para escalar el alcance del grupo por correo electrónico, SMS y teléfono)».
Si bien los patrones de suplantación se asemejan a tácticas previamente asociadas con Scattered Spider, la actividad se ha vinculado a ShinyHunters basándose en el uso práctico del teclado de los subdominios durante el vishing de cara a la organización, secuencias de intrusión de extremo a extremo consistentes y temas de señuelo.
«ShinyHunters está ampliando las intrusiones impulsadas por vishing mediante la subcontratación de tareas programadas, estilo centro de llamadas e incluso servicios de acoso a contratistas remunerados», añadió. «Es probable que el objetivo acelere las campañas de presión de alto volumen y bajo costo y obligue a los usuarios a cumplir rápidamente mediante la optimización de las personas que llaman (incluido el reclutamiento de mujeres). ShinyHunters llama a este modelo el ‘Centro de Operaciones SLH’, una operación de vishing diseñada para volumen y velocidad».
Cuando se le preguntó si la actividad de suplantación de dominio podría ser obra de un grupo de delitos electrónicos más amplio, ReliaQuest dijo a The Hacker News que «dentro de nuestra visibilidad, no tenemos evidencia verificable de forma independiente de que esta actividad de suplantación de subdominio deba atribuirse a un colectivo más amplio en lugar de ShinyHunters, aunque la superposición sigue siendo posible».
«Evaluamos a ShinyHunters con alta confianza basándose principalmente en la victimología, ya que el objetivo corresponde a las organizaciones que ShinyHunters ha nombrado en su sitio de filtración», añadió la compañía.
ReliaQuest dijo que también ha visto mensajes de Telegram que indican que los grupos sólo se «unen» para ciertas operaciones de ingeniería social, lo que sugiere que si bien la colaboración puede ocurrir en algunos casos, no hay evidencia concreta o información sobre cómo el colectivo define esos esfuerzos de colaboración y si esta actividad entra en esa categoría.
(La historia se actualizó después de la publicación para incluir información adicional de ReliaQuest).