Los investigadores de ciberseguridad han empatado una nueva ronda de ataques cibernéticos dirigidos a servicios financieros al patente conjunto de delitos cibernéticos conocido como araña dispersa, arrojando dudas sobre sus afirmaciones de ir «umbrátil».
La firma de inteligencia de amenazas Reliaquest dijo que ha observado indicaciones de que el actor de amenaza ha cambiado su enfoque al sector financiero. Esto está respaldado por un aumento en los dominios parecidos potencialmente vinculados al conjunto que está orientado a la industria erecto, así como una intrusión dirigida recientemente identificada contra una estructura bancaria estadounidense no identificada.
«La araña dispersa obtuvo comunicación original al ingeniería socialmente de una cuenta de un ejecutor y restableciendo su contraseña a través de la papeleo de contraseñas de hipermercado de Azure Active Directory», dijo la compañía.
«A partir de ahí, accedieron a documentos de seguridad y TI confidenciales, se movieron lateralmente a través del entorno Citrix y VPN, y comprometieron la infraestructura de VMware ESXi para volcar credenciales e infiltrarse aún más en la red».
Para conquistar la ascenso de privilegios, los atacantes restablecen una contraseña de cuenta de servicio Veeam, se asignaron permisos de administrador completo de Azure y reubicaron máquinas virtuales para esquivar la detección. Además hay signos de que la araña dispersa intentó exfiltrar datos de Snowflake, Amazon Web Services (AWS) y otros repositorios.
Salir o Smokescreen?
La fresco actividad socava las afirmaciones del conjunto de que estaban deja de ejecutar pegado con otros 14 grupos criminales, como Lapsus $. Spattered Spider es el apodo asignado a un colectivo de piratería suelto que forma parte de una entidad en bisectriz más amplia emplazamiento Com.
El conjunto además comparte un parada escalón de superposición con otros equipos de delitos cibernéticos como Shinyhunters y Lapsus $, tanto que los tres grupos formaron una entidad normal emplazamiento «Lapsus $ cazadores dispersos».
Uno de estos grupos, especialmente Shinyhunters, además se ha dedicado a los esfuerzos de perturbación a posteriori de exfiltrar datos confidenciales de las instancias de Salesforce de las víctimas. En estos casos, la actividad tuvo extensión meses a posteriori de que los objetivos se vieron comprometidos por otro conjunto de piratería motivado financieramente rastreado por Mandiant, propiedad de Google, como UNC6040.
El incidente es un recordatorio de no ser arrullado en una falsa sensación de seguridad, agregó Reliaquest, instando a las organizaciones a mantenerse atentos a la amenaza. Como en el caso de los grupos de ransomware, no existe la pensión, ya que es muy posible que se reagrupen o se vuelvan a marca bajo un seudónimo diferente en el futuro.
«La fresco afirmación de que la araña dispersa se está retirando debe tomarse con un escalón significativo de desconfianza», dijo Karl Sigler, apoderado de investigación de seguridad de SpiderLabs Threat Intelligence en Trustwave, una compañía LevelBlue. «En extensión de una verdadera disolución, este anuncio probablemente indica un movimiento importante para distanciar al conjunto de aumentar la presión de la aplicación de la ley».
Sigler además señaló que la carta de despedida debe estar como un retiro importante, permitiendo al conjunto reevaluar sus prácticas, refinar su Tradecraft y esquivar los esfuerzos continuos para poner una tapa en sus actividades, sin mencionar los esfuerzos de atribución al hacer que sea más difícil vincular a los futuros incidentes con los mismos actores centrales.
«Es plausible que poco interiormente de la infraestructura operativa del conjunto se haya conocido comprometida. Ya sea a través de un sistema incumplido, un canal de comunicación expuesto o el arresto de los afiliados de nivel inferior, poco ha provocado que el conjunto se oscurezca, al menos temporalmente. resurgir bajo una nueva identidad «.
Desempolvar
En un nuevo exploración publicado el 17 de septiembre de 2025, Eclecticiq dijo que Shinyhunters probablemente depende de los miembros de Sptered Spider y el COM para allanar los ataques de phishing de voz utilizando plataformas como VAPI y IA suave que proporcionan comunicación no calificado a las plataformas de inicio único (SSO) utilizados por las compañías minoristas, de aviones aéreas y de telecomomunimentos.
Específicamente, se ha descubierto que los miembros de Shinyhunters abusan de AI suave para automatizar las llamadas de ingeniería social a escalera, lo que les permite adaptar las respuestas a las reacciones de las víctimas durante las llamadas telefónicas en tiempo existente, y certificar que la emplazamiento siga siendo convincente incluso en escenarios en los que responden fuera de las vías de conversación escritas.
Los ataques de phishing de llamadas de voz son llevados a límite por individuos que son reclutados por Shinycorp (además conocido como SP1D3Rhunters), el autor intelectual detrás de Shinyhunters, a través de grupos de telegramas como Sim Land (SL), una comunidad subterránea operada por los miembros de la COM.
«A diferencia de las llamadas de voz de autómata asombrado, el maniquí AI genera dinámicamente voces y ajusta el tono y las respuestas para nutrir la credibilidad y manipular el objetivo», dijo Eclecticiq. «Esta combinación de papeleo del diálogo con provisiones de LLM y la voz sintética casi realista permite a los actores de amenaza vinculados a Shinyhunters para ejecutar operaciones exitosas de vishado a escalera».
Luego se aprovecha el comunicación para desviar grandes volúmenes de datos del cliente de aplicaciones de Salesforce comprometidas para esfuerzos de perturbación posteriores. Según la compañía de seguridad cibernética holandesa, Shinyhunters además ha hecho suplantado de páginas de inicio de sesión de OKTA SSO para robar credenciales de sectores de parada valía, incluidas la banca de inversión, el comercio minorista de suntuosidad, los viajes, el procesamiento de pagos de los Estados Unidos y las principales plataformas de comercio electrónico.
Adicionalmente de eso, el conjunto de perturbación ha afirmado deber robado más de 1,500 millones de registros de Salesforce de 760 compañías que utilizan tokens de deriva de sales comprometidos, según un crónica de Bleeping Computer. Google está rastreando la actividad asociada con el SalesLoft Hack bajo el Moniker UNC6395.
Adicionalmente, se dice que Shinyhunters obtuvo las claves de la API de Browserstack creadas por equipos de ingeniería y las usó para atacar entornos de avance empresarial, así como explotó una vulnerabilidad de Oracle Access Manager (CVE-2021-35587) en ataques dirigidos a un mesa franquista y un fabricante de automóviles japonés para obtener comunicación a la pulvínulo de datos y datos exfiltrados.
«Shinyhunters está expandiendo sus operaciones combinando phishing de voz recaudador para la AI, compromisos de la dependencia de suministro y aprovechando los expertos maliciosos, como empleados o contratistas, que pueden proporcionar comunicación directo a las redes empresariales», dijo la investigadora de seguridad Arda Büyükkaya.
«El líder de Shinyhunters, Shinycorp, está vendiendo activamente conjuntos de datos robados con afiliados de ransomware y otros actores de delitos electrónicos, a precios que superan los $ 1 millón por empresa».
