En el dinámico ecosistema de la ciberseguridad, observamos constantemente la evolución de las amenazas. Sin embargo, rara vez presenciamos una consolidación de esta magnitud. Hoy, analizamos la formación de una alianza sin precedentes: la fusión de tres de los colectivos más notorios de la actualidad —Scattered Spider, LAPSUS$ y ShinyHunters— bajo una nueva bandera federada. Este conglomerado, bautizado como Scattered LAPSUS$ Hunters (SLH), no es una colaboración pasajera; representa la formalización de un nuevo modelo de negocio criminal que prioriza la reputación y la guerra narrativa.
Desde nuestra perspectiva, el indicador más claro de su estrategia es su tenaz presencia pública. A pesar de los esfuerzos de moderación de plataformas, el grupo ha recreado sus canales de Telegram más de 16 veces desde principios de agosto. Esta insistencia revela su objetivo principal: utilizar Telegram como un megáfono. No solo coordinan operaciones, sino que, al más puro estilo hacktivista, construyen una marca pública, amplifican sus mensajes y comercializan sus servicios, proyectando una imagen de legitimidad burocrática con etiquetas como “Centro de Operaciones SLH”.
Tabla de Contenidos
La nueva ‘empresa’ del cibercrimen
El producto estrella de esta alianza es una inquietante innovación: la Extorsión como Servicio (EaaS). A diferencia del Ransomware como Servicio (RaaS) tradicional, el modelo EaaS de SLH no se centra (al menos no exclusivamente) en el cifrado de archivos. Su principal activo es la notoriedad combinada de sus tres marcas fundadoras.
Ofrecen a otros afiliados la oportunidad de unirse y utilizar la “marca” SLH para exigir pagos. La premisa es simple: el miedo que inspiran los nombres de LAPSUS$ o ShinyHunters es suficiente para coaccionar a las víctimas. Este colectivo ha lanzado ataques de extorsión de datos contra múltiples organizaciones, incluyendo aquellas que utilizan la plataforma Salesforce, demostrando su capacidad inmediata para monetizar el miedo.
Más allá de la alianza: el ecosistema ‘The Com’ y la táctica dual
Para comprender la peligrosidad de Scattered LAPSUS$ Hunters, debemos situarlos en su contexto. Los tres grupos son evaluados como miembros de una empresa cibercriminal federada y difusa conocida como “The Com”. Este no es un grupo, sino una subcultura o un entorno de actores fluidos que comparten tácticas y colaboran de forma intermitente. SLH parece ser la primera alianza cohesiva y formalizada dentro de esta red caótica, mostrando asociaciones con otros clústeres como CryptoChameleon y Crimson Collective.
La complejidad aumenta al analizar el rol de sus componentes. Scattered Spider, por ejemplo, no opera exclusivamente para SLH. Informes de seguridad de Acronis confirman que este grupo también funciona como un afiliado de acceso inicial de élite para otros cárteles de ransomware.
Mientras es socio fundador de SLH, simultáneamente rompe las defensas de objetivos de alto valor y vende ese acceso a grupos como DragonForce. Este último, un notorio sucesor que utiliza el código fuente filtrado de Conti, ha formado su propio “cártel” en asociación con Qilin y LockBit. Scattered Spider actúa como su especialista en ingeniería social (vishing y spear-phishing), utilizando herramientas legítimas como AnyDesk o ScreenConnect para realizar un reconocimiento exhaustivo antes de que DragonForce despliegue el golpe final.
De la extorsión al ransomware: la amenaza de Sh1nySp1d3r
Aunque el modelo EaaS de Scattered LAPSUS$ Hunters ya es preocupante, la alianza no se detiene en la extorsión de datos. Hemos verificado indicios de una escalada técnica significativa: el desarrollo de su propia familia de ransomware personalizada, denominada Sh1nySp1d3r.
Esta no es una amenaza menor. Los primeros análisis sugieren que este nuevo ransomware está diseñado para rivalizar con gigantes como LockBit y está siendo afinado para atacar un objetivo crítico para las empresas: los entornos VMware ESXi. La capacidad de combinar la extorsión basada en la reputación (EaaS) con un ransomware capaz de paralizar infraestructuras virtualizadas completas (RaaS) otorga a SLH un poder de negociación y un potencial destructivo formidable.
El amanecer de la ciberdelincuencia federada
Lo que estamos presenciando no es simplemente la unión de tres grupos criminales; es la evolución de la ciberdelincuencia hacia un modelo empresarial federado. Los actores detrás de SLH demuestran una madurez operativa que combina lo mejor de tres mundos: la sofisticada ingeniería social de Scattered Spider, el desarrollo de exploits y el corretaje de acceso (liderado por miembros como “yuka”) y una comprensión profunda de la “guerra narrativa” perfeccionada por LAPSUS$.
Como detallan los investigadores de Trustwave, este colectivo ha demostrado un dominio absoluto de cómo la percepción y la legitimidad pueden ser convertidas en armas dentro del ecosistema criminal. Han fusionado la motivación financiera del cibercrimen con la validación social y la teatralidad del hacktivismo. No son recién llegados oportunistas; son la nueva cara de una amenaza organizada, híbrida y peligrosamente persuasiva.
¿Quieres saber más? Este artículo (en inglés) puede ampliar tu información.
1
0
Average Rating