El inaugural colectivo que combina tres destacados grupos de ciberdelincuencia, Scattered Spider, LAPSUS$ y ShinyHunters, ha creado falta menos que 16 canales de Telegram desde el 8 de agosto de 2025.
«Desde su première, los canales de Telegram del especie han sido eliminados y recreados al menos 16 veces bajo diferentes iteraciones del nombre diferente, un ciclo recurrente que refleja la moderación de la plataforma y la determinación de los operadores de suministrar este tipo específico de presencia pública a pesar de la interrupción», dijo Trustwave SpiderLabs, una compañía de LevelBlue, en un documentación compartido con The Hacker News.
A principios de agosto surgieron cazadores dispersos de LAPSUS$ (SLH), lanzando ataques de perjuicio de datos contra organizaciones, incluidas aquellas que utilizan Salesforce en los últimos meses. La principal de sus ofertas es una perjuicio como servicio (EaaS) a la que otros afiliados pueden unirse para exigir un suscripción a los objetivos a cambio de utilizar la «marca» y la notoriedad de la entidad consolidada.
Se evalúa que los tres grupos están afiliados a una empresa cibercriminal federada y poco unida conocida como The Com, que se caracteriza por una «colaboración fluida y el intercambio de marcas». Desde entonces, los actores de amenazas han mostrado sus asociaciones con otros grupos adyacentes rastreados como CryptoChameleon y Crimson Collective.
Telegram, según el proveedor de ciberseguridad, sigue siendo el oportunidad central para que sus miembros coordinen y brinden visibilidad a las operaciones del especie, adoptando un estilo similar a los grupos hacktivistas. Esto tiene un doble propósito: convertir sus canales en un amplificador para que los actores de amenazas difundan sus mensajes y comercialicen sus servicios.
«A medida que la actividad maduró, los puestos administrativos comenzaron a incluir firmas que hacían narración al ‘Centro de Operaciones SLH/SLSH’, una marbete autoaplicada con un peso simbólico que proyectaba la imagen de una estructura de mando organizada que otorgaba legalidad burocrática a comunicaciones que de otro modo estarían fragmentadas», señaló Trustwave.
 |
| Canales de Telegram observados y periodos de actividad |
Los miembros del especie incluso han utilizado Telegram para enseñar a los actores estatales chinos de explotar vulnerabilidades supuestamente atacadas por ellos, al mismo tiempo que apuntan a las agencias policiales de EE. UU. y el Reino Unido. Encima, se ha descubierto que invitan a los suscriptores del canal a participar en campañas de presión buscando las direcciones de correo electrónico de los ejecutivos de parada nivel y enviándoles correos electrónicos sin refrigerio a cambio de un suscripción exiguo de 100 dólares.
Algunos de los grupos de amenazas conocidos que forman parte del equipo se enumeran a continuación, destacando una alianza cohesiva que reúne a varios grupos semiautónomos en el interior de la red The Com y sus capacidades técnicas bajo un mismo paraguas:
- Shinycorp (incluso conocido como sp1d3rhunters), que actúa como coordinador y gestiona la percepción de la marca.
- UNC5537 (vinculado a la campaña de perjuicio de Snowflake)
- UNC3944 (asociado con Araña dispersa)
- UNC6040 (vinculado a la fresco campaña de vishing de Salesforce)
Además forman parte del especie identidades como Rey y SLSHsupport, que son responsables de suministrar el compromiso, yuxtapuesto con yuka (incluso conocido como Yukari o Cvsp), que tiene un historial de exposición de exploits y se presenta como un intermediario de camino original (IAB).
 |
| Personas administrativas y afiliadas consolidadas |
Si perfectamente el robo de datos y la perjuicio siguen siendo el pilar de Scattered LAPSUS$ Hunters, los actores de amenazas han insinuado una clan de ransomware personalizado convocatoria Sh1nySp1d3r (incluso conocido como ShinySp1d3r) para rivalizar con LockBit y DragonForce, sugiriendo posibles operaciones de ransomware en el futuro.
Trustwave ha caracterizado a los actores de amenazas como ubicados en algún oportunidad del espectro del cibercrimen motivado financieramente y el hacktivismo impulsado por la atención, combinando incentivos monetarios y firmeza social para impulsar sus actividades.
«A través de la marca teatral, el reciclaje de la reputación, la amplificación multiplataforma y la administración de identidades en capas, los actores detrás de SLH han demostrado una comprensión madura de cómo la percepción y la legalidad pueden convertirse en armas en el interior del ecosistema cibercriminal», añadió.
«En conjunto, estos comportamientos ilustran una estructura operativa que combina ingeniería social, exposición de explotación y exterminio novelística, una combinación más característica de actores clandestinos establecidos que de recién llegados oportunistas».
Cartelización de otro tipo
La divulgación se produce cuando Acronis reveló que los actores de amenazas detrás de DragonForce han desatado una nueva reforma de malware que utiliza controladores vulnerables como truesight.sys y rentdrv2.sys (parte de BadRentdrv2) para deshabilitar el software de seguridad y finalizar procesos protegidos como parte de un ataque «traiga su propio compensador indefenso» (BYOVD).
DragonForce, que lanzó un cártel de ransomware a principios de este año, desde entonces incluso se ha asociado con Qilin y LockBit en un intento de «proveer el intercambio de técnicas, capital e infraestructura» y aumentar sus propias capacidades individuales.
«Los afiliados pueden implementar su propio malware mientras utilizan la infraestructura de DragonForce y operan bajo su propia marca», dijeron los investigadores de Acronis. «Esto reduce la barrera técnica y permite que tanto los grupos establecidos como los nuevos actores ejecuten operaciones sin crear un ecosistema de ransomware completo».
El especie de ransomware, según la empresa con sede en Singapur, está afiliado con Scattered Spider, y este final funciona como afiliado para atacar objetivos de interés a través de sofisticadas técnicas de ingeniería social como phishing y vishing, seguido de la implementación de herramientas de camino remoto como ScreenConnect, AnyDesk, TeamViewer y Splashtop para realizar un examen íntegro antaño de desasistir DragonForce.
«DragonForce utilizó el código fuente filtrado de Conti para forjar un sucesor indeterminado diseñado para soportar su propia marca», dijo. «Mientras que otros grupos hicieron algunos cambios al código para darle un libranza diferente, DragonForce mantuvo toda la funcionalidad sin cambios, agregando solo una configuración cifrada en el ejecutable para deshacerse de los argumentos de la columna de comandos que se usaron en el código Conti diferente».
