5 de noviembre de 2025

⚠️ “Scattered LAPSUS$ Hunters”: la fusión criminal que redefine el cibercrimen

⚠️ “Scattered LAPSUS$ Hunters”: la fusión criminal que redefine el cibercrimen

¿Te imaginas que tres de los grupos más peligrosos del cibercrimen se unieran para atacar como uno solo? Pues no es ficción: está pasando. Y si trabajas en TI, esto te afecta directamente —porque las técnicas que antes veías separadas, ahora vienen combinadas en una sola amenaza más inteligente, más coordinada y más difícil de detener.

🔥 La alianza que nadie esperaba

En 2025, tres nombres que durante años han sido sinónimo de caos digital —Scattered Spider, LAPSUS$ y ShinyHunters— unieron fuerzas para crear un colectivo conocido como “Scattered LAPSUS$ Hunters” (SLH).
Esta unión no es solo una alianza entre hackers: es una fusión operativa, una especie de “startup del cibercrimen” que combina lo mejor (y lo peor) de cada grupo para lanzar ataques más completos, más veloces y con un alcance global.

🧠 ¿Qué aporta cada grupo?

Cada uno trae a la mesa su especialidad:

  • Scattered Spider domina el acceso inicial: ingeniería social, suplantación de help desks y manipulación de empleados.

  • LAPSUS$ recluta insiders dentro de las empresas y roba código fuente o credenciales privilegiadas.

  • ShinyHunters es experto en exfiltrar datos masivos y hacer pública la información para presionar a las víctimas.

El resultado: ataques multifásicos que comienzan con un correo de phishing y terminan en una filtración de datos y extorsión pública.

⚙️ Cómo operan y por qué deberías preocuparte

SLH funciona con una estructura federada, sin jerarquías fijas, usando Telegram como su centro de operaciones.
Desde ahí coordinan campañas de “extorsión como servicio” (EaaS), donde ofrecen sus herramientas y reputación a otros grupos para que ejecuten ataques bajo su nombre.

Sus tácticas incluyen:

  • Phishing con dominios clonados de proveedores SaaS (como Salesforce o Azure).

  • Abuso de infraestructura en la nube para recolectar credenciales.

  • Filtraciones públicas en canales de Telegram o foros underground para forzar el pago de rescates.

En la práctica, esto significa que ya no necesitas ser un experto para extorsionar una empresa: basta con pagarles para que lo hagan por ti.

🧩 La falsa “desaparición”

En septiembre de 2025, SLH anunció que cesaba operaciones. Pero los analistas coinciden en que se trata de una táctica de distracción.
Lo más probable es que estén reorganizando sus células o simplemente operando bajo nuevos nombres, tal como ocurrió con el grupo Conti en 2022.

🛡️ Lo que esto significa para ti (y para tu red)

Esta alianza marca un antes y un después en la historia del cibercrimen.
Ahora las empresas se enfrentan a un enemigo que combina acceso, ingeniería social, robo interno y filtración pública en un solo movimiento coordinado.

Si trabajas en TI o eres responsable de sistemas, esto no es un titular más:

  • Refuerza la conciencia del personal (el help desk sigue siendo el eslabón más débil).

  • Asegura que los accesos privilegiados estén auditados y segmentados.

  • Implementa autenticación multifactor real (no por correo o SMS).

  • Supervisa la exposición de tus dominios y servicios SaaS.

En resumen:
El cibercrimen también evoluciona. Y cuando los atacantes se organizan como empresas, tú no puedes seguir defendiéndote como si fueras un usuario doméstico.

Fuente: https://www.resecurity.com/blog/article/trinity-of-chaos-the-lapsus-shinyhunters-and-scattered-spider-alliance-embarks-on-global-cybercrime-spree
Siguiente → 💬 Microsoft Teams bajo ataque silencioso...
Escrito por:
Luis Carreón
📰 Otras noticias del día
💬 Microsoft Teams bajo ataque silencioso: vulnerabilidades que permiten alterar mensajes y suplantar identidades
🧨 Falla crítica en React Native CLI expone a millones de desarrolladores a ataques remotos
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio