El notorio colectivo cibercriminal conocido como Scattered LAPSUS$ Hunters (SLH) ha sido observado ofreciendo incentivos financieros para reclutar mujeres y llevar a cabo ataques de ingeniería social. La idea es contratarlas para campañas de vishing dirigidas a mesas de ayuda de TI, según informó Dataminr en un nuevo informe de amenazas. El grupo ofrece entre $500 y $1,000 por adelantado por cada llamada, además de proporcionarles guiones preescritos para ejecutar el ataque.
Estrategia de reclutamiento y tácticas de SLH
SLH está diversificando su grupo de ingeniería social al reclutar específicamente mujeres para realizar ataques de vishing, probablemente para aumentar la tasa de éxito de la suplantación de la mesa de ayuda, afirmó la firma de inteligencia de amenazas. Este supergrupo cibercriminal, compuesto por LAPSUS$, Scattered Spider y ShinyHunters, tiene un historial de ataques avanzados de ingeniería social para evitar la autenticación multifactor (MFA) mediante técnicas como bombardeo de solicitudes MFA y SIM swapping.
El modus operandi del grupo incluye atacar mesas de ayuda y centros de llamadas para comprometer empresas, haciéndose pasar por empleados y convenciendo al personal de restablecer una contraseña o instalar una herramienta de monitoreo y gestión remota (RMM) que les otorga acceso remoto. Una vez obtenido el acceso inicial, se ha observado que Scattered Spider se mueve lateralmente a entornos virtualizados, escala privilegios y exfiltra datos corporativos sensibles.
Algunos de estos ataques han llevado al despliegue de ransomware. Otra característica distintiva es el uso de servicios legítimos y redes de proxy residenciales (por ejemplo, Luminati y OxyLabs) para mezclarse y evadir la detección. Los actores de Scattered Spider han utilizado diversas herramientas de tunneling como Ngrok, Teleport y Pinggy, así como servicios gratuitos de intercambio de archivos como file.io, gofile.io, mega.nz y transfer.sh.
Informes de Palo Alto Networks Unit 42
En un informe publicado a principios de este mes, Palo Alto Networks Unit 42, que rastrea a Scattered Spider bajo el nombre Muddled Libra, describió al actor de amenazas como "altamente competente en explotar la psicología humana" al hacerse pasar por empleados para intentar restablecer contraseñas y autenticación multifactor. En al menos un caso investigado por la empresa en septiembre de 2025, Scattered Spider creó y utilizó una máquina virtual después de obtener credenciales privilegiadas llamando a la mesa de ayuda de TI, y luego la usó para realizar reconocimiento (como enumeración de Active Directory) e intentar exfiltrar archivos de buzones de Outlook y datos descargados de la base de datos Snowflake del objetivo.
Unit 42 señaló que, aunque se centra en el compromiso de identidad y la ingeniería social, este actor de amenazas aprovecha herramientas legítimas y la infraestructura existente para pasar desapercibido. Operan de manera sigilosa y mantienen persistencia. También se destacó que Scattered Spider tiene un "amplio historial" de atacar entornos de Microsoft Azure utilizando la Graph API para facilitar el acceso a recursos en la nube de Azure. Además, utilizan herramientas de enumeración en la nube como ADRecon para el reconocimiento de Active Directory.
Con la ingeniería social emergiendo como el punto de entrada principal para el grupo, se recomienda a las organizaciones estar alerta y capacitar al personal de la mesa de ayuda de TI para que esté atento a guiones preescritos y suplantación de voz pulida, aplicar una verificación de identidad estricta, endurecer las políticas de MFA alejándose de la autenticación basada en SMS y auditar registros de creación de nuevos usuarios o escalada de privilegios administrativos después de las interacciones con la mesa de ayuda.
Esta campaña de reclutamiento representa una evolución calculada en las tácticas de SLH. Al buscar específicamente voces femeninas, el grupo probablemente busca eludir los perfiles 'tradicionales' de atacantes que el personal de la mesa de ayuda de TI puede estar entrenado para identificar, aumentando así la efectividad de sus esfuerzos de suplantación.
Actualización: Análisis de ReliaQuest
En un análisis de seguimiento publicado el 26 de febrero de 2026, ReliaQuest informó que observó al grupo de extorsión ShinyHunters probablemente cambiando a la suplantación de subdominios de marca combinada con phishing en vivo guiado por teléfono (adversario en el medio, AiTM) y señuelos móviles, después de que el operador llama al usuario final con un pretexto de mesa de ayuda o soporte. Esto incluye el registro de dominios que siguen el formato: '<organización>.sso-verify[.]com'.
Se cree que el grupo también está reutilizando registros de software como servicio (SaaS) ya expuestos para construir pretextos convincentes e identificar a la 'mejor' persona para realizar ataques de ingeniería social, creando un bucle de acceso repetible. Esto lleva a un rápido compromiso de identidad a SaaS, permitiendo que una sola sesión SSO válida o restablecimiento de mesa de ayuda otorgue acceso amplio a datos sensibles sin necesidad de malware personalizado.
ReliaQuest afirmó: "Es muy probable que esto sea un movimiento deliberado para alejarse del uso de dominios recién registrados similares hacia un enfoque que pueda eludir los controles tradicionales de 'nuevo dominio'. Dos desarrollos paralelos acortan aún más el tiempo de impacto del grupo: señuelos diseñados para usuarios móviles (reduciendo la visibilidad en la monitorización de redes empresariales y el filtrado web) y subcontratación criminal pagada (para escalar el alcance del grupo por correo electrónico, SMS y teléfono)".
Si bien los patrones de suplantación se asemejan a tácticas previamente asociadas con Scattered Spider, la actividad se ha vinculado a ShinyHunters basándose en el uso manual de los subdominios durante el vishing dirigido a organizaciones, secuencias de intrusión de extremo a extremo consistentes y temas de señuelo. ReliaQuest añadió: "ShinyHunters está escalando las intrusiones impulsadas por vishing al subcontratar tareas guionadas de estilo centro de llamadas, e incluso servicios de acoso, a contratistas pagados. El objetivo probablemente es acelerar campañas de presión de alto volumen y bajo costo, y coaccionar a los usuarios para que cumplan rápidamente optimizando los perfiles de los llamantes (incluyendo el reclutamiento de mujeres llamantes). ShinyHunters llama a este modelo el 'Centro de Operaciones SLH', una operación de vishing construida para volumen y velocidad".
Cuando se le preguntó si la actividad de suplantación de dominios podría ser obra del grupo de ciberdelincuencia más amplio, ReliaQuest dijo a The Hacker News: "Dentro de nuestra visibilidad, no tenemos evidencia verificable independiente de que esta actividad de suplantación de subdominios deba atribuirse a un colectivo más amplio en lugar de a ShinyHunters, aunque la superposición es posible. Evaluamos a ShinyHunters con alta confianza basándonos principalmente en la victimología, ya que la orientación corresponde a organizaciones que ShinyHunters ha nombrado en su sitio de filtraciones".
ReliaQuest también indicó que ha visto mensajes en Telegram que afirman que los grupos solo se "unen" para ciertas operaciones de ingeniería social, lo que sugiere que, si bien la colaboración puede ocurrir en algunos casos, no hay evidencia concreta o información sobre cómo el colectivo define esos esfuerzos colaborativos y si esta actividad entra en esa categoría.
