El inaugural colectivo que combina tres destacados grupos de ciberdelincuencia, Scattered Spider, LAPSUS$ y ShinyHunters, ha creado mínimo menos que 16 canales de Telegram desde el 8 de agosto de 2025.
“Desde su iniciación, los canales de Telegram del camarilla han sido eliminados y recreados al menos 16 veces bajo diferentes iteraciones del nombre diferente, un ciclo recurrente que refleja la moderación de la plataforma y la determinación de los operadores de permanecer este tipo específico de presencia pública a pesar de la interrupción”, dijo Trustwave SpiderLabs, una compañía de LevelBlue, en un documentación compartido con The Hacker News.
A principios de agosto surgieron cazadores dispersos de LAPSUS$ (SLH), lanzando ataques de perturbación de datos contra organizaciones, incluidas aquellas que utilizan Salesforce en los últimos meses. La principal de sus ofertas es una perturbación como servicio (EaaS) a la que otros afiliados pueden unirse para exigir un plazo a los objetivos a cambio de utilizar la “marca” y la notoriedad de la entidad consolidada.
Se evalúa que los tres grupos están afiliados a una empresa cibercriminal federada y poco unida conocida como The Com, que se caracteriza por una “colaboración fluida y el intercambio de marcas”. Desde entonces, los actores de amenazas han mostrado sus asociaciones con otros grupos adyacentes rastreados como CryptoChameleon y Crimson Collective.
Telegram, según el proveedor de ciberseguridad, sigue siendo el oficio central para que sus miembros coordinen y brinden visibilidad a las operaciones del camarilla, adoptando un estilo similar a los grupos hacktivistas. Esto tiene un doble propósito: convertir sus canales en un amplificador para que los actores de amenazas difundan sus mensajes y comercialicen sus servicios.
“A medida que la actividad maduró, los puestos administrativos comenzaron a incluir firmas que hacían relato al ‘Centro de Operaciones SLH/SLSH’, una formalidad autoaplicada con un peso simbólico que proyectaba la imagen de una estructura de mando organizada que otorgaba licitud burocrática a comunicaciones que de otro modo estarían fragmentadas”, señaló Trustwave.
 |
| Canales de Telegram observados y periodos de actividad |
Los miembros del camarilla todavía han utilizado Telegram para delatar a los actores estatales chinos de explotar vulnerabilidades supuestamente atacadas por ellos, al mismo tiempo que apuntan a las agencias policiales de EE. UU. y el Reino Unido. Encima, se ha descubierto que invitan a los suscriptores del canal a participar en campañas de presión buscando las direcciones de correo electrónico de los ejecutivos de parada nivel y enviándoles correos electrónicos sin refrigerio a cambio de un plazo minúsculo de 100 dólares.
Algunos de los grupos de amenazas conocidos que forman parte del equipo se enumeran a continuación, destacando una alianza cohesiva que reúne a varios grupos semiautónomos en el interior de la red The Com y sus capacidades técnicas bajo un mismo paraguas:
- Shinycorp (todavía conocido como sp1d3rhunters), que actúa como coordinador y gestiona la percepción de la marca.
- UNC5537 (vinculado a la campaña de perturbación de Snowflake)
- UNC3944 (asociado con Araña dispersa)
- UNC6040 (vinculado a la nuevo campaña de vishing de Salesforce)
Igualmente forman parte del camarilla identidades como Rey y SLSHsupport, que son responsables de permanecer el compromiso, cercano con yuka (todavía conocido como Yukari o Cvsp), que tiene un historial de ampliación de exploits y se presenta como un intermediario de camino auténtico (IAB).
 |
| Personas administrativas y afiliadas consolidadas |
Si admisiblemente el robo de datos y la perturbación siguen siendo el pilar de Scattered LAPSUS$ Hunters, los actores de amenazas han insinuado una comunidad de ransomware personalizado convocatoria Sh1nySp1d3r (todavía conocido como ShinySp1d3r) para rivalizar con LockBit y DragonForce, sugiriendo posibles operaciones de ransomware en el futuro.
Trustwave ha caracterizado a los actores de amenazas como ubicados en algún oficio del espectro del cibercrimen motivado financieramente y el hacktivismo impulsado por la atención, combinando incentivos monetarios y garra social para impulsar sus actividades.
“A través de la marca teatral, el reciclaje de la reputación, la amplificación multiplataforma y la dirección de identidades en capas, los actores detrás de SLH han demostrado una comprensión madura de cómo la percepción y la licitud pueden convertirse en armas en el interior del ecosistema cibercriminal”, añadió.
“En conjunto, estos comportamientos ilustran una estructura operativa que combina ingeniería social, ampliación de explotación y cruzada novelística, una combinación más característica de actores clandestinos establecidos que de recién llegados oportunistas”.
Cartelización de otro tipo
La divulgación se produce cuando Acronis reveló que los actores de amenazas detrás de DragonForce han desatado una nueva transformación de malware que utiliza controladores vulnerables como truesight.sys y rentdrv2.sys (parte de BadRentdrv2) para deshabilitar el software de seguridad y finalizar procesos protegidos como parte de un ataque “traiga su propio compensador desvalido” (BYOVD).
DragonForce, que lanzó un cártel de ransomware a principios de este año, desde entonces todavía se ha asociado con Qilin y LockBit en un intento de “simplificar el intercambio de técnicas, fortuna e infraestructura” y acrecentar sus propias capacidades individuales.
“Los afiliados pueden implementar su propio malware mientras utilizan la infraestructura de DragonForce y operan bajo su propia marca”, dijeron los investigadores de Acronis. “Esto reduce la barrera técnica y permite que tanto los grupos establecidos como los nuevos actores ejecuten operaciones sin crear un ecosistema de ransomware completo”.
El camarilla de ransomware, según la empresa con sede en Singapur, está formado con Scattered Spider, y este postrero funciona como afiliado para atacar objetivos de interés a través de sofisticadas técnicas de ingeniería social como phishing y vishing, seguido de la implementación de herramientas de camino remoto como ScreenConnect, AnyDesk, TeamViewer y Splashtop para realizar un gratitud pormenorizado ayer de darse DragonForce.
“DragonForce utilizó el código fuente filtrado de Conti para forjar un sucesor azaroso diseñado para padecer su propia marca”, dijo. “Mientras que otros grupos hicieron algunos cambios al código para darle un modismo diferente, DragonForce mantuvo toda la funcionalidad sin cambios, agregando solo una configuración cifrada en el ejecutable para deshacerse de los argumentos de la dirección de comandos que se usaron en el código Conti diferente”.
