
Los fiscales estadounidenses han vinculado al presunto hacker de Scattered Spider con un robo en una joyería de lujo utilizando identificaciones persistentes de dispositivos Windows, según una denuncia federal recientemente revelada.
Los registros de Microsoft vincularon primero esa identificación con la cuenta que los atacantes utilizaron para mantener el acceso durante la violación de mayo de 2025, y luego con una cuenta en línea que, según los fiscales, pertenece a Peter Stokes, de 19 años.
Stokes está acusado de conspiración, invasión de propiedad intelectual y fraude. Como informó THN, el ciudadano estadounidense y estonio, conocido en línea como «Bouquet», fue extraditado de Finlandia e hizo su primera comparecencia ante el tribunal en Chicago el 30 de junio. Se presume inocente en espera de juicio.
Cómo funciona la intrusión
Entre el 12 y el 15 de mayo de 2025, el atacante llamó al servicio de asistencia de TI del minorista desde un número de Google Voice, se hizo pasar por un empleado bloqueado e hizo que el personal restableciera la contraseña del empleado y el dispositivo móvil asociado con la autenticación multifactor.
En cuestión de horas, tomaron el control de tres cuentas, dos de las cuales pertenecían a administradores de TI. Instalaron ngrok y una segunda herramienta de túnel llamada Teleport para mover los datos al almacenamiento en la nube de Amazon y extraer al menos 77 GB.
Parece que intentaron implementar ransomware, pero el equipo de seguridad del minorista lo detuvo y lo eliminó de la red. Aún así, los atacantes enviaron un correo electrónico de rescate con el asunto «Importante: hemos robado sus datos. Comuníquese con nosotros de inmediato (sic)» y luego exigieron $ 8 millones en criptomonedas. La empresa no pagó. La infracción costó aproximadamente 2 millones de dólares en interrupción, investigación y limpieza.
El punto de entrada fue la mesa de ayuda, no una falla de software. Una solución es un proceso, no un parche. Verifique la identidad mediante una devolución de llamada a un número que ya está registrado, una firma de administrador o una verificación por video de una cuenta privilegiada antes de restablecerla. La MFA resistente al phishing, como las claves FIDO2, ralentiza otros métodos para grupos, pero no hace nada cuando un servicio de asistencia técnica restablece una cuenta por teléfono.
La identificación que llevó a los investigadores hasta Stokes
Los investigadores rastrearon a Stokes hasta el dispositivo donde abrió la cuenta ngrok. Microsoft le dijo al FBI que mantiene el identificador global de dispositivo g:6755467234350028. Esto, explica Microsoft, es un identificador persistente asociado con una única instalación de Windows que sobrevive a las actualizaciones del sistema operativo, pero cambia cuando se reinstala Windows.

Según los registros de Microsoft, el dispositivo visitó la página de registro de ngrok el 12 de mayo de 2025 a las 19:21 UTC, al mismo tiempo que se creó la cuenta de ngrok, y llegó al sitio web del minorista a través del mismo proxy aproximadamente tres horas después.
El dispositivo también continuó apareciendo en la misma dirección IP al mismo tiempo que las cuentas de Snapchat, Apple y Facebook de Stokes. Las direcciones coincidían con la ciudad natal de Stokes, Tallin, Estonia, en junio de 2024, luego Nueva York en noviembre y Tailandia en febrero de 2025, según los registros de viajes del Departamento de Estado.

La denuncia nombra a un operador que ocultó el ataque detrás de un proxy VPN, una herramienta de túnel y un alias, pero no a él mismo. Sus Snapchats mostraban dinero en efectivo, un reloj, una cadena de diamantes que decía «HACK THE PLANET» y el viaje en sí a esas ciudades, dijeron los fiscales. Incluso publicó una foto de una comisaría de policía de Estonia, burlándose de las autoridades federales diciéndoles que no tenían idea de qué se había salido con la suya.
Un arresto y por qué no frena la amenaza
Los investigadores ahora pueden vincular a un solo operador a la máquina atacante. Pero un solo arresto hace poco para abordar la amenaza más amplia.
En otro estudio reciente, Group-IB afirma que las arañas dispersas no son en realidad un grupo. Es una colección dispersa de células pequeñas e independientes, en su mayoría de cinco personas o menos, unidas por trucos, herramientas y salas de chat compartidos en lugar de un jefe compartido. Group-IB compara esto con el movimiento Anonymous y dice que arrestar a algunas de estas células «no detendrá la amenaza en sí».
Los fiscales describen a Scattered Spider como un grupo detrás de más de 100 intrusiones y más de 100 millones de dólares en pagos de rescate. Group-IB dice que la etiqueta se adapta más a la escena que las pandillas, y afirma que la estructura flexible es la razón por la que el movimiento sobrevive a un arresto tras otro.
Parte de un incidente de larga duración
Otros procesamientos recientes de Scattered Spider siguen un patrón similar. La estrategia compartida se mantiene y los individuos son arrestados uno por uno. En abril de 2026, el ciudadano escocés Tyler Buchanan se declaró culpable en Estados Unidos de cargos de fraude y robo de identidad relacionados con el grupo.
En 2025, Noah Urban, conocido como «Sosa», fue sentenciado a 10 años de prisión por un esquema de intercambio de SIM relacionado con Scattered Spider. Y en el Reino Unido, dos presuntos miembros admitieron recientemente haber pirateado Transport for London a un costo estimado de £29 millones.
La policía finlandesa detuvo a Stokes en el aeropuerto de Helsinki cuando estaba a punto de abordar un vuelo a Japón y confiscó dos discos duros de 2 terabytes. Todo el caso se construyó a partir de materiales como registros de dispositivos, enlaces de cuentas y rastros de IP. En una red tan difusa, un impulso puede llegar a ser más importante que la convicción si se cuenta con las herramientas, la infraestructura y los contactos para llegar al siguiente miembro.
Source link
