El naciente colectivo que combina tres destacados grupos de ciberdelincuencia, Scattered Spider, LAPSUS$ y ShinyHunters, ha creado nada menos que 16 canales de Telegram desde el 8 de agosto de 2025.
«Desde su debut, los canales de Telegram del grupo han sido eliminados y recreados al menos 16 veces bajo diferentes iteraciones del nombre original, un ciclo recurrente que refleja la moderación de la plataforma y la determinación de los operadores de mantener este tipo específico de presencia pública a pesar de la interrupción», dijo Trustwave SpiderLabs, una compañía de LevelBlue, en un informe compartido con The Hacker News.
A principios de agosto surgieron cazadores dispersos de LAPSUS$ (SLH), lanzando ataques de extorsión de datos contra organizaciones, incluidas aquellas que utilizan Salesforce en los últimos meses. La principal de sus ofertas es una extorsión como servicio (EaaS) a la que otros afiliados pueden unirse para exigir un pago a los objetivos a cambio de utilizar la «marca» y la notoriedad de la entidad consolidada.
Se evalúa que los tres grupos están afiliados a una empresa cibercriminal federada y poco unida conocida como The Com, que se caracteriza por una «colaboración fluida y el intercambio de marcas». Desde entonces, los actores de amenazas han mostrado sus asociaciones con otros grupos adyacentes rastreados como CryptoChameleon y Crimson Collective.
Telegram, según el proveedor de ciberseguridad, sigue siendo el lugar central para que sus miembros coordinen y brinden visibilidad a las operaciones del grupo, adoptando un estilo similar a los grupos hacktivistas. Esto tiene un doble propósito: convertir sus canales en un megáfono para que los actores de amenazas difundan sus mensajes y comercialicen sus servicios.
«A medida que la actividad maduró, los puestos administrativos comenzaron a incluir firmas que hacían referencia al ‘Centro de Operaciones SLH/SLSH’, una etiqueta autoaplicada con un peso simbólico que proyectaba la imagen de una estructura de mando organizada que otorgaba legitimidad burocrática a comunicaciones que de otro modo estarían fragmentadas», señaló Trustwave.
 |
| Canales de Telegram observados y periodos de actividad |
Los miembros del grupo también han utilizado Telegram para acusar a los actores estatales chinos de explotar vulnerabilidades supuestamente atacadas por ellos, al mismo tiempo que apuntan a las agencias policiales de EE. UU. y el Reino Unido. Además, se ha descubierto que invitan a los suscriptores del canal a participar en campañas de presión buscando las direcciones de correo electrónico de los ejecutivos de alto nivel y enviándoles correos electrónicos sin descanso a cambio de un pago mínimo de 100 dólares.
Algunos de los grupos de amenazas conocidos que forman parte del equipo se enumeran a continuación, destacando una alianza cohesiva que reúne a varios grupos semiautónomos dentro de la red The Com y sus capacidades técnicas bajo un mismo paraguas:
- Shinycorp (también conocido como sp1d3rhunters), que actúa como coordinador y gestiona la percepción de la marca.
- UNC5537 (vinculado a la campaña de extorsión de Snowflake)
- UNC3944 (asociado con Araña dispersa)
- UNC6040 (vinculado a la reciente campaña de vishing de Salesforce)
También forman parte del grupo identidades como Rey y SLSHsupport, que son responsables de mantener el compromiso, junto con yuka (también conocido como Yukari o Cvsp), que tiene un historial de desarrollo de exploits y se presenta como un intermediario de acceso inicial (IAB).
 |
| Personas administrativas y afiliadas consolidadas |
Si bien el robo de datos y la extorsión siguen siendo el pilar de Scattered LAPSUS$ Hunters, los actores de amenazas han insinuado una familia de ransomware personalizado llamada Sh1nySp1d3r (también conocido como ShinySp1d3r) para rivalizar con LockBit y DragonForce, lo que sugiere posibles operaciones de ransomware en el futuro.
Trustwave ha caracterizado a los actores de amenazas como ubicados en algún lugar del espectro del cibercrimen motivado financieramente y el hacktivismo impulsado por la atención, combinando incentivos monetarios y validación social para impulsar sus actividades.
«A través de la marca teatral, el reciclaje de la reputación, la amplificación multiplataforma y la gestión de identidades en capas, los actores detrás de SLH han demostrado una comprensión madura de cómo la percepción y la legitimidad pueden convertirse en armas dentro del ecosistema cibercriminal», añadió.
«En conjunto, estos comportamientos ilustran una estructura operativa que combina ingeniería social, desarrollo de explotación y guerra narrativa, una combinación más característica de actores clandestinos establecidos que de recién llegados oportunistas».
Cartelización de otro tipo
La divulgación se produce cuando Acronis reveló que los actores de amenazas detrás de DragonForce han desatado una nueva variante de malware que utiliza controladores vulnerables como truesight.sys y rentdrv2.sys (parte de BadRentdrv2) para deshabilitar el software de seguridad y finalizar procesos protegidos como parte de un ataque «traiga su propio controlador vulnerable» (BYOVD).
DragonForce, que lanzó un cártel de ransomware a principios de este año, desde entonces también se ha asociado con Qilin y LockBit en un intento de «facilitar el intercambio de técnicas, recursos e infraestructura» y reforzar sus propias capacidades individuales.
«Los afiliados pueden implementar su propio malware mientras utilizan la infraestructura de DragonForce y operan bajo su propia marca», dijeron los investigadores de Acronis. «Esto reduce la barrera técnica y permite que tanto los grupos establecidos como los nuevos actores ejecuten operaciones sin crear un ecosistema de ransomware completo».
El grupo de ransomware, según la empresa con sede en Singapur, está alineado con Scattered Spider, y este último funciona como afiliado para atacar objetivos de interés a través de sofisticadas técnicas de ingeniería social como phishing y vishing, seguido de la implementación de herramientas de acceso remoto como ScreenConnect, AnyDesk, TeamViewer y Splashtop para realizar un reconocimiento exhaustivo antes de abandonar DragonForce.
«DragonForce utilizó el código fuente filtrado de Conti para forjar un sucesor oscuro diseñado para llevar su propia marca», dijo. «Mientras que otros grupos hicieron algunos cambios al código para darle un giro diferente, DragonForce mantuvo toda la funcionalidad sin cambios, agregando solo una configuración cifrada en el ejecutable para deshacerse de los argumentos de la línea de comandos que se usaron en el código Conti original».