Se ha observado que un notorio grupo de delitos cibernéticos conocido como Scattered LAPSUS$ Hunters (SLH) ofrece incentivos financieros para reclutar mujeres para llevar a cabo ataques de ingeniería social.
Dataminr dijo en un nuevo informe sobre amenazas que está considerando contratarlos para campañas de phishing de voz dirigidas a los servicios de asistencia de TI. Se dice que el grupo ofrece pagos por adelantado de entre 500 y 1.000 dólares por llamada, además de proporcionar los guiones escritos previamente necesarios para llevar a cabo el ataque.
«SLH está diversificando su fuerza laboral de ingeniería social al reclutar específicamente mujeres para llevar a cabo sus ataques maliciosos, probablemente aumentando su tasa de éxito al hacerse pasar por servicios de asistencia», dijo la firma de inteligencia de amenazas.
SLH, un supergrupo cibercriminal de alto perfil compuesto por LAPSUS$, Scattered Spider y ShinyHunters, tiene un historial de participar en sofisticados ataques de ingeniería social que evitan la autenticación multifactor (MFA) a través de técnicas como el bombardeo rápido de MFA y el intercambio de SIM.
Las tácticas del grupo incluyen atacar las mesas de ayuda y los centros de llamadas para infiltrarse en las empresas haciéndose pasar por empleados y convencerlos de restablecer contraseñas o instalar herramientas de administración y monitoreo remoto (RMM) que permitan el acceso remoto. Una vez que obtienen el acceso inicial, se ha observado que las arañas dispersas se mueven lateralmente hacia entornos virtualizados, aumentando sus privilegios y filtrando datos corporativos confidenciales.
Algunos de estos ataques también conducen a la implementación de ransomware. Otra característica de estos ataques es el uso de servicios legítimos y redes de proxy residenciales (como Luminati y OxyLabs) para evadir la detección. Los atacantes de Scattered Spider han utilizado una variedad de herramientas de tunelización como Ngrok, Teleport y Pinggy, así como servicios gratuitos para compartir archivos como file.io, gofile.io, mega.nz y transfer.sh.
La Unidad 42 de Palo Alto Networks, que rastrea a Scattered Spider bajo el sobrenombre de Muddled Libra, dijo en un informe publicado a principios de este mes que el atacante es «muy hábil en explotar la psicología humana» haciéndose pasar por empleados e intentando restablecer contraseñas y autenticación multifactor (MFA).
En al menos un incidente investigado por una empresa de ciberseguridad en septiembre de 2025, Scattered Spider supuestamente llamó a un servicio de asistencia de TI para obtener credenciales privilegiadas, luego creó y utilizó una máquina virtual (VM) que utilizó para realizar reconocimientos (como enumerar Active Directory) e intentar robar archivos del buzón de correo de Outlook y datos descargados de la base de datos Snowflake del objetivo.
«Este actor de amenazas aprovecha herramientas legítimas y la infraestructura existente para integrarse, mientras se centra en el compromiso de identidad y la ingeniería social», dijo la Unidad 42. «Operan silenciosamente y mantienen la perseverancia».
La firma de ciberseguridad también señaló que Scattered Spider tiene un «amplio historial» de apuntar a entornos de Microsoft Azure utilizando Graph API para facilitar el acceso a los recursos de la nube de Azure. El grupo también utiliza herramientas de enumeración en la nube como ADRecon para el reconocimiento de Active Directory.
Dado que la ingeniería social está surgiendo como un punto de entrada clave para los grupos de delitos cibernéticos, se alienta a las organizaciones a permanecer alerta y capacitar a su servicio de asistencia de TI y al personal de soporte para que desconfíen de los scripts preescritos y la suplantación de voz sofisticada, implementen una verificación de identidad estricta, abandonen la autenticación basada en SMS para fortalecer las políticas de MFA y supervisen los registros de auditoría para la creación de nuevos usuarios y la elevación de privilegios administrativos asociados con las interacciones del servicio de asistencia.
«Esta campaña de reclutamiento representa una evolución calculada en las tácticas de SLH», dijo Dataminr. «Al solicitar específicamente voces femeninas, el grupo probablemente apunta a eludir los perfiles ‘tradicionales’ de atacantes que el personal de la mesa de ayuda de TI puede estar capacitado para identificar, aumentando así la efectividad de sus esfuerzos de suplantación».
Source link
