Mandiant, propiedad de Google, informó el viernes que identificó una "expansión en la actividad de amenazas" que utiliza tácticas consistentes con ataques de extorsión orquestados por un grupo de hackers motivado financieramente conocido como ShinyHunters.
Los ataques aprovechan el vishing (phishing por voz) avanzado y sitios falsos de captura de credenciales que imitan a empresas objetivo para obtener acceso no autorizado a los entornos de las víctimas, recopilando credenciales de inicio de sesión único (SSO) y códigos de autenticación multifactor (MFA).
El objetivo final de los ataques es atacar aplicaciones de software como servicio (SaaS) basadas en la nube para sustraer datos confidenciales y comunicaciones internas, y extorsionar a las víctimas.
El equipo de inteligencia de amenazas de Google dijo que está rastreando la actividad bajo múltiples grupos, incluidos UNC6661, UNC6671 y UNC6240 (también conocido como ShinyHunters), para tener en cuenta la posibilidad de que estos grupos estén evolucionando sus métodos o imitando tácticas observadas anteriormente.
"Si bien esta metodología de atacar proveedores de identidad y plataformas SaaS es consistente con nuestras observaciones previas de actividad de amenazas que preceden a la extorsión de la marca ShinyHunters, la amplitud de las plataformas en la nube atacadas continúa expandiéndose a medida que estos actores de amenazas buscan datos más confidenciales para la extorsión", señaló Mandiant. "Además, parecen estar intensificando sus tácticas de extorsión en incidentes recientes, incluido el acoso al personal de la víctima, entre otras tácticas".
Los detalles de la actividad de vishing y robo de credenciales son los siguientes:
- UNC6661 se ha observado haciéndose pasar por personal de TI en llamadas a empleados de organizaciones víctimas, dirigiéndolos a enlaces de captura de credenciales con el pretexto de indicarles que actualicen su configuración MFA. La actividad se registró entre principios y mediados de enero de 2026.
- Las credenciales robadas se utilizan luego para registrar su propio dispositivo para MFA y moverse lateralmente por la red para exfiltrar datos de plataformas SaaS. En al menos un caso, el actor de amenazas utilizó su acceso a cuentas de correo electrónico comprometidas para enviar más correos de phishing a contactos en empresas centradas en criptomonedas. Los correos se eliminaron posteriormente para cubrir las huellas. A esto le sigue una actividad de extorsión realizada por UNC6240.
- UNC6671 también ha sido identificado haciéndose pasar por personal de TI para engañar a las víctimas como parte de los esfuerzos para obtener sus credenciales y códigos de autenticación MFA en sitios de captura de credenciales con la marca de la víctima desde principios de enero de 2026. En al menos algunos casos, los actores de amenazas obtuvieron acceso a cuentas de clientes de Okta. UNC6671 también ha utilizado PowerShell para descargar datos confidenciales de SharePoint y OneDrive.
- Las diferencias entre UNC6661 y UNC6671 se relacionan con el uso de diferentes registradores de dominio para registrar los dominios de captura de credenciales (NICENIC para UNC6661 y Tucows para UNC6671), así como el hecho de que un correo electrónico de extorsión enviado después de la actividad de UNC6671 no se superpuso con indicadores conocidos de UNC6240.
- Esto indica que pueden estar involucrados diferentes grupos de personas, lo que ilustra la naturaleza amorfa de estos grupos de ciberdelincuencia. Además, la orientación a empresas de criptomonedas sugiere que los actores de amenazas también pueden estar buscando explorar más vías de ganancias financieras.
Vale la pena señalar que UNC6661 y UNC6671 no son los únicos grupos que han realizado ataques de vishing para violar redes empresariales. En junio de 2025, Google Threat Intelligence Group (GTIG) expuso a otro actor de amenazas conocido como UNC6040 que llevó a cabo campañas de vishing para violar instancias de Salesforce de organizaciones para robos de datos a gran escala y ataques de extorsión.
"No hemos visto indicios de que UNC6040 estuviera involucrado en la actividad de extorsión de esta última campaña", dijo Mandiant a The Hacker News por correo electrónico. "Si bien no podemos descartar una futura actividad de UNC6040, atribuimos la actividad de extorsión más reciente a UNC6661, que GTIG rastrea como un actor separado. Hasta la fecha, no hemos visto superposición en la actividad entre UNC6661 y UNC6040".
Para contrarrestar la amenaza que representan las plataformas SaaS, Google ha esbozado una larga lista de recomendaciones de endurecimiento, registro y detección:
- Mejorar los procesos de la mesa de ayuda, incluido exigir al personal que solicite una videollamada en vivo para verificar su identidad.
- Limitar el acceso a puntos de salida y ubicaciones físicas de confianza; exigir contraseñas seguras; y eliminar SMS, llamadas telefónicas y correo electrónico como métodos de autenticación.
- Restringir el acceso al plano de gestión, auditar en busca de secretos expuestos y aplicar controles de acceso a dispositivos.
- Implementar registros para aumentar la visibilidad de las acciones de identidad, autorizaciones y comportamientos de exportación de SaaS.
- Detectar la inscripción de dispositivos MFA y los cambios en el ciclo de vida de MFA; buscar eventos de autorización de OAuth/aplicaciones que sugieran manipulación de buzones utilizando utilidades como ToogleBox Email Recall, o eventos de identidad que ocurran fuera del horario comercial normal.
"Esta actividad no es el resultado de una vulnerabilidad de seguridad en los productos o la infraestructura de los proveedores", dijo Google. "En cambio, continúa destacando la efectividad de la ingeniería social y subraya la importancia de que las organizaciones avancen hacia MFA resistente al phishing cuando sea posible. Métodos como las llaves de seguridad FIDO2 o las passkeys son resistentes a la ingeniería social de maneras que la autenticación push o por SMS no lo son".
(La historia se actualizó después de su publicación el 3 de febrero de 2026 para incluir una respuesta de Google Mandiant).
