El grupo inicial, que combinaba tres destacados grupos de ciberdelincuentes: Scattered Spider, LAPSUS$ y ShinyHunters, creó 16 canales de Telegram desde el 8 de agosto de 2025.
«Desde su debut, el canal Telegram del grupo ha sido eliminado y recreado al menos 16 veces, con varias iteraciones de su nombre original. Este ciclo repetitivo refleja la moderación de la plataforma y la determinación del operador de mantener este tipo particular de presencia pública a pesar de la interrupción», dijo la compañía Trustwave SpiderLabs de Level Blue en un informe compartido con Hacker News.
A principios de agosto surgieron cazadores dispersos de LAPSUS$ (SLH) y lanzaron ataques de extorsión de datos contra organizaciones, incluidas aquellas que habían estado utilizando Salesforce en los últimos meses. La principal de sus ofertas es la extorsión como servicio (EaaS), donde otros afiliados pueden participar y exigir pagos a los objetivos a cambio de utilizar la «marca» y la notoriedad de la entidad consolidada.
Se considera que los tres grupos pertenecen a una empresa de cibercrimen federada y poco organizada llamada The Com, caracterizada por una «colaboración fluida y el intercambio de marcas». Desde entonces, el actor de amenazas ha mostrado asociación con otros grupos adyacentes rastreados como CryptoChameleon y Crimson Collective.
Los proveedores de ciberseguridad dicen que Telegram sigue siendo un lugar central para que los miembros coordinen y obtengan visibilidad de las actividades del grupo, adoptando un estilo similar al de los grupos hacktivistas. Esto también tiene un doble propósito para que los atacantes no solo anuncien sus servicios sino que también conviertan el canal en un megáfono para difundir su mensaje.
«A medida que la operación maduró, los puestos administrativos comenzaron a incluir firmas que hacían referencia al ‘Centro de Operaciones SLH/SLSH’, una etiqueta autoaplicada con peso simbólico que proyectaba una imagen de una cadena de mando organizada, otorgando legitimidad burocrática a las comunicaciones fragmentadas», señaló Trustwave.
Canales de Telegram observados y periodos de actividad
Los miembros del grupo también utilizan Telegram para acusar a las agencias estatales chinas de explotar vulnerabilidades que se dice que están dirigidas a ellos, así como a las agencias encargadas de hacer cumplir la ley en los Estados Unidos y el Reino Unido. Además, se ha descubierto que solicitan a los suscriptores que participen en campañas de presión buscando direcciones de correo electrónico de ejecutivos y enviándoles correos electrónicos persistentemente a cambio de un pago mínimo de 100 dólares.
Algunos de los grupos de amenazas conocidos que forman parte del equipo se enumeran a continuación. Esto pone de relieve la alianza cohesiva que reúne a varios grupos semiautónomos dentro de la red The Com y sus capacidades tecnológicas bajo un mismo paraguas.
Shinycorp (también conocido como sp1d3rhunters) actúa como coordinador y gestiona el conocimiento de la marca UNC5537 (relacionado con la campaña de extorsión Snowflake) UNC3944 (relacionado con Scattered Spider) UNC6040 (relacionado con la reciente campaña de vishing de Salesforce)
El grupo también incluye identidades como Rey y SLSHsupport, que son responsables de mantener el compromiso, y yuka (también conocida como Yukari o Cvsp), que tiene un historial de desarrollo de exploits y afirma ser un intermediario de acceso inicial (IAB).
Administradores consolidados y partes relacionadas
Si bien el robo de datos y la extorsión siguen siendo el pilar de Scattered LAPSUS$ Hunters, los actores de amenazas han insinuado una familia de ransomware personalizada llamada Sh1nySp1d3r (también conocida como ShinySp1d3r) que rivaliza con LockBit y DragonForce, insinuando una posible actividad futura de ransomware.
Trustwave caracteriza a los actores de amenazas como si se ubicaran en algún lugar del espectro entre el cibercrimen con motivación financiera y el hacktivismo de alto perfil, con una combinación de incentivos financieros y reconocimiento social que impulsan sus actividades.
«A través de la marca teatral, el reciclaje de la reputación, la amplificación multiplataforma y la gestión de identidades de múltiples capas, los actores de amenazas detrás de SLH demuestran una comprensión madura de cómo el reconocimiento y la legitimidad se utilizan como armas dentro del ecosistema del cibercrimen», añadió.
«En conjunto, estas acciones demuestran una estructura operativa que combina ingeniería social, desarrollo de explotación y guerra narrativa, una combinación más característica de actores clandestinos establecidos que de recién llegados oportunistas».
Otro tipo de cartelización
Esta divulgación se produce después de que Acronis revelara que los atacantes detrás de DragonForce han lanzado nuevas variantes de malware que utilizan controladores vulnerables como truesight.sys y rentdrv2.sys (parte de BadRentdrv2) para desactivar el software de seguridad y finalizar procesos protegidos como parte de los ataques BYOVD (Bring Your Own Vulnerable Driver Attack).
DragonForce, que lanzó su cartel de ransomware a principios de este año, desde entonces también se ha asociado con Qilin y LockBit para «facilitar el intercambio de tecnología, recursos e infraestructura» y fortalecer sus respectivas capacidades.
«Los afiliados pueden aprovechar la infraestructura de DragonForce para implementar su propio malware mientras operan bajo su propia marca», dijeron los investigadores de Acronis. «Esto reduce la barrera técnica y permite que tanto los grupos establecidos como los nuevos actores de amenazas realicen operaciones sin tener que construir un ecosistema de ransomware completo».
Según la empresa con sede en Singapur, el grupo de ransomware trabaja con Scattered Spider, que actúa como afiliado para infiltrarse en objetivos de interés a través de técnicas avanzadas de ingeniería social como phishing y vishing, y luego implementa herramientas de acceso remoto como ScreenConnect, AnyDesk, TeamViewer y Splashtop para realizar un reconocimiento exhaustivo antes de abandonar DragonForce.
«Dragon Force utilizó el código fuente filtrado por Conti para forjar un Sucesor Oscuro creado para ponerle su propia marca». «Mientras que otros grupos hicieron algunos cambios al código para darle un giro diferente, DragonForce no cambió toda la funcionalidad, simplemente agregó configuración cifrada al ejecutable para eliminar los argumentos de la línea de comando utilizados en el código Conti original».
Source link
