Blog Blog

Sp1d3rHunters: ¿nueva alianza de cibercrimen?

August 19, 2025
Emiliano Enzo Vega (ArongSecurity)
Sp1d3rHunters: ¿nueva alianza de cibercrimen?

Durante las últimas semanas, se ha registrado una serie de ataques dirigidos a destacadas empresas de alto perfil, entre las cuales se incluyen Adidas, Cartier, Google, Louis Vuitton, Dior, Chanel, Tiffany & Co., Qantas Airways, Air France–KLM, Allianz Life, Cisco (donde de esta se habló en un artículo anterior del blog), Pandora y junto a otras 91 organizaciones. Estos incidentes no deben considerarse eventos aislados, sino que forman parte de una campaña sofisticada y coordinada denominada "The Com", que ha afectado a múltiples entidades que emplean plataformas para la gestión de relaciones con clientes y prospectos. En esta se lograron comprometer datos sensibles vinculados a clientes o posibles clientes, empleados y operaciones internas de las compañías afectadas.

Los ataques han sido atribuidos a un actor con motivaciones económicas, que ha empleado tácticas, técnicas y procedimientos (TTPs) característicos de grupos de ciberdelincuentes de alto impacto en los últimos años, conocidos bajo los nombres ShinyHunters y Scattered Spider. Las técnicas principales se centraron en la obtención de información mediante ingeniería social, específicamente a través de ataques de vishing, en lugar de explotar vulnerabilidades técnicas en las infraestructuras. Posteriormente, los atacantes exigieron pagos a las víctimas para evitar la divulgación de la información comprometida.

Es relevante subrayar que, aunque "Sp1d3rhunters" no constituye un nombre oficial del grupo, se utiliza para referirse con mayor precisión a su afiliación. La evidencia disponible indica una colaboración estrecha entre estos actores, dado que el alias Sp1d3rhunters ha sido identificado en plataformas como BreachForums y Telegram. De hecho, el propio grupo ShinyHunters ha declarado que ambos grupos son idénticos y que han operado conjuntamente desde sus inicios.

Recientemente, se han detectado diversos canales en Telegram donde estos actores publican listados de sus ataques y una nueva posible herramienta de ramsomware como servicio (RaaS) que la denominaron “ShinySp1d3r” desde el grupo afirman que van a posicionarse a la par o por encima del ramsomware LockBit. Si bien la estructura de estos canales son desordenados, resultan altamente efectivos para la difusión tanto de información como de amenazas relacionadas con sus campañas.

Posibles TTPs que utiliza el actor de amenaza Sp1d3rHunters:

Campañas de phishing y vishing:

  • Acceso Inicial (TA0001)
    • Phishing (T1566)
      • Spearphishing via Service (T1566.003)
        • Atacantes se hacen pasar por personal de soporte informático para ganar confianza.
      • Spearphishing Voice (T1566.004)
        • Uso de llamadas telefónicas para engañar a las víctimas

Recopilación de credenciales:

  • Credential Access (TA0006)
    • Input Capture (T1056)
      • Web Portal Capture (T1056.003)
        • Páginas de phishing con temática de Okta y Salesforce para capturar credenciales.

Suplantación de dominios:

  • Resource Development (TA0042)
    • Acquire Infrastructure (T1583)
      • Domains (T1583.001)
        • Registro de dominios que imitan marcas legítimas
      • Server (T1583.004)
        • Uso de servidores legítimos comprados o alquilados para campaña de phishing.

Infraestructura y ofuscación:

  • Command and Control (TA0011)
    • Proxy (T1090)
      • Uso de Mullvad VPN para exfiltración de datos.
  • Domain Fronting (T1090.004)

Exfiltración de datos para extorsión y persistencia para futuros ataques:

  • Exfiltration (TA0010)
    • Exfiltration Over C2 Channel (T1041)
    • Exfiltration Over Web Service (T1567)
    • Transfer Data to Cloud Account (T1537)
  • Persistence (TA0003)
    • Valid Accounts (T1078)
    • Cloud Accounts (T1078.004)

¿Quiénes son los actores de amenazas ShinyHunters y Scattered Spider?

ShinyHunters

Grupo de ciberdelincuentes surgido en 2020, reconocido por su implicación en múltiples ataques de datos de alto perfil. Este actor se especializa en el robo y la comercialización de bases de datos masivas, operando principalmente en foros clandestinos como RaidForums y BreachForums, siendo además atribuido como propietario de este último, uno de los foros más influyentes en la comunidad cibercriminal.

Sus objetivos son predominantemente económicos, buscando obtener ganancias significativas mediante la venta de datos robados. No obstante, también persiguen aumentar su reputación dentro de su comunidad, liberando ocasionalmente información de forma gratuita para incrementar notoriedad o causar caos a las compañías afectadas.

Se centra en objetivos como plataformas de comercio electrónico, servicios en línea y empresas del sector tecnológico.

TTPs:

  • Gather Victim Identity Information:
  • Credentials/Email Addresses (T1589.001)
  • Phishing (T1566)
  • Steal Application Access Tokens (T1528)

Scattered Spider

Este grupo apareció a mediados de 2022 y se ha identificado como un operador avanzado que junto a sus TTPs emplea infostealer Reaccon y el ransomware BlackCat/ALPHV también últimamente colaboró con Qilin. Este grupo se caracteriza por su uso intensivo de técnicas de ingeniería social y ataques altamente dirigidos para comprometer a sus víctimas. Ha sido responsable de múltiples incidentes de alto impacto, incluyendo brechas de datos y accesos no autorizados a infraestructuras críticas.

Su principal incentivo es económico, destacándose por la sofisticación y personalización de sus campañas de phishing y la explotación de vulnerabilidades, realizando además movimientos laterales dentro de las redes comprometidas para maximizar el daño. Se centran en objetivos como CRM,BPO, empresas de telecomunicaciones, empresas de tecnologías, minoristas, empresas de videojuegos, financiera, sector de salud.

Sus ataques más relevantes fueron a empresas como Riot Games, Telecom, MGM Resorts, Caesars Entertainment, MailChimp, Twilio y DoorDash.

TTPs:

  • Social Media Accounts (T1585.001)
  • Phishing: Spearphishing Voice (T1566.004)
  • Data Encrypted for Impact (T1486)

Conclusiones:

La exposición pública de la información comprometida por estos grupos puede derivar en pérdidas económicas significativas, daño reputacional considerable para las organizaciones afectadas y riesgos legales por incumplimiento de normativas de protección de datos. Este escenario evidencia cómo, a pesar de sus ventajas, las plataformas en la nube constituyen un blanco atractivo para actores maliciosos.

Algunas recomendaciones finales son no centrarse en grupos por separado ya que constantemente cambian de nombres, afiliados, miembros, es prioritario centrar la defensa en sus métodos de ataques y fortalecer la autenticación multifactor (MFA) para accesos a otras plataformas críticas, realizar auditorías periódicas de permisos y accesos para detectar configuraciones erróneas o excesivas, capacitar a los usuarios en la identificación de intentos de phishing, vishing y otras técnicas de ingeniería social, implementar monitoreo continuo y alertas para detectar actividades inusuales en las cuentas, desarrollar planes de respuesta ante incidentes que incluyan protocolos específicos para ataques de extorsión y manejo de datos comprometidos.

Fuentes:

https://www.bleepingcomputer.com/news/security/google-confirms-data-breach-exposed-potential-google-ads-customers-info/

https://www.bleepingcomputer.com/news/security/google-hackers-target-salesforce-accounts-in-data-extortion-attacks/

https://socradar.io/dark-web-profile-shinyhunters/

https://socradar.io/dark-web-profile-scattered-spider/

Emiliano Enzo Vega (ArongSecurity)

Emiliano Enzo Vega (ArongSecurity)

Hacker Ético | Analista de ciberseguridad | OSINT | Ciberinteligencia |

Volver al blog