La campaña de datos de datos en curso que se dirige a los clientes de Salesforce podría dar atención rápidamente a los proveedores de servicios financieros y de tecnología, ya que Shinyhunters y Spicider parecen estar trabajando de la mano.
«La ola de ataques que contribuyó a este último Shina Hunter revela cambios dramáticos en las tácticas y se mueven más allá del robo de calificación anterior del grupo y la explotación de la base de datos», dijo en un informe compartido con Hacker News.
Estos incluyen el uso de tácticas que reflejan tácticas de araña dispersas, como viscaciones altamente específicas (también conocidas como phishing de voz) y ataques de ingeniería social, utilizando aplicaciones que se disfrazan de herramientas legítimas y utilizando páginas de phishing con temas de OKTA para reclutar víctimas e ingresar a sus credenciales durante las visitas, que son utilizadas por las VPN.
Introducido por primera vez en 2020, Shinyhunters es un grupo de amenazas motivado financieramente que coordinó una serie de violaciones de datos dirigidas a grandes corporaciones y las monetizó en foros de delitos cibernéticos como Raidforums e incumplimiento. Curiosamente, los personajes de Shinyhunters fueron participantes clave en estas plataformas como contribuyentes y administradores.
«Shinyhunters Persona se asoció con Baphomet para reiniciar la segunda instancia de Breachforums (V2) en junio de 2023, y luego solo comenzó la instancia de junio de 2025 (V4)», dijo Sophos en un informe reciente. «La versión provisional (V3) desapareció de repente en abril de 2025, pero se desconoce la causa».
La renovación del foro es de corta duración, y el comité de noticias de última hora se desconectó alrededor del 9 de junio, pero los actores de amenaza están vinculados a un ataque dirigido a las instancias de la fuerza de ventas, un clúster de actividades relacionadas con el horror que Google está rastreando bajo Monica UNC6240.
En línea con estos desarrollos, los arrestos fueron los arrestos de cuatro personas sospechosas de llevar a cabo formas de violación, incluido el cazador brillante por parte de la policía francesa. Sin embargo, el actor amenazante le dijo a DatabReaches.net que «Francia se ha apresurado a lograr arrestos falsos e inexactos,» aumentando la probabilidad de que los miembros del asociado hayan sido atrapados.
Y eso no es todo. El 8 de agosto, surgió un nuevo canal de telegrama que integra el cazador brillante, las arañas dispersas y el rapsu-$, conocido como «Lapsu-$ cazador disperso», con los miembros del canal que también están desarrollando una solución de servicio como ransomware llamado ShinySP1D3R, que es comparable a sus rocas y dragones de dragón. Tres días después, el canal desapareció.
Tanto las arañas dispersas como el Rapusus $ están vinculados a la com colectiva más amplia y ambigua, una notoria red de ciberderenicias experimentados de habla inglesa que se sabe que participan en una amplia gama de actividades maliciosas, incluidos intercambios de SIM, coeriones y delitos físicos.
Reliaquest dijo que ha identificado un conjunto coordinado de dominios de phishing con tema de boletos y páginas de recolección de calificación de Salesforce que probablemente se creen para campañas similares dirigidas a agricultores conocidos en una variedad de industrias.
Según la compañía, estos dominios se registraron utilizando infraestructura que generalmente se asocia con kits de phishing comúnmente utilizados para alojar páginas de inicio de sesión de inicio de sesión único (SSO).
Además, un análisis de más de 700 dominios registrados en 2025 que coinciden con los patrones de phishing de araña dispersos reveló que los registros de dominios dirigidos a las compañías financieras han aumentado en un 12% desde julio de 2025, pero la orientación de las compañías de tecnología ha disminuido en un 5%, lo que sugiere que los bancos, las compañías de seguros y los servicios financieros podrían estar en la próxima línea.
Además de la superposición táctica de los dos grupos que posiblemente trabajan juntos, esto es respaldado por el hecho de que se dirigen al mismo sector (es decir, minorista, seguro, aviación) casi simultáneamente.
«Apoyar esta teoría es evidencia como la aparición de usuarios de formas de violación con los alias» SP1D3RHUNTERS «. No solo se vincula a las infracciones pasadas de brillo, sino que se superpone con los patrones de registro de dominio.
«Si estas conexiones son legales, sugiere que la colaboración o la superposición entre Shinyhunter y la araña dispersa podrían continuar durante más de un año. Afirmando similar al momento de sincronización de estos ataques anteriores respalda la posibilidad de esfuerzos coordinados entre los dos grupos».
Source link
