Desde agosto de 2025, tres de los grupos más notorios del cibercrimen —Scattered Spider, LAPSUS$ y ShinyHunters— han formalizado una alianza bajo el nombre Scattered LAPSUS$ Hunters (SLH), creando hasta 16 canales en Telegram para coordinar y amplificar sus operaciones. Esta fusión representa un salto cualitativo en la “profesionalización” del cibercrimen, mezclando extorsión, hacktivismo y manipulación mediática en un mismo ecosistema.
Puntos clave y detalles operativos
El nuevo colectivo opera como una plataforma de extorsión como servicio (EaaS), donde afiliados pueden explotar la reputación del grupo para lanzar ataques y exigir rescates. Entre los incidentes recientes se observan campañas dirigidas a usuarios de Salesforce, combinando técnicas de vishing, spear-phishing y explotación de vulnerabilidades.
Los actores mantienen una presencia constante en Telegram, pese a los cierres reiterados de sus canales. Allí difunden mensajes, reclutan colaboradores y hasta organizan campañas de acoso contra ejecutivos de empresas, ofreciendo pagos a quienes participen.
Entre los subgrupos identificados destacan UNC5537 (Snowflake extortion), UNC3944 (Scattered Spider) y UNC6040 (Salesforce vishing). También operan figuras reconocidas como Rey, SLSHsupport y yuka (Yukari/Cvsp), este último conocido initial access broker con experiencia en desarrollo de exploits.
Malware, campañas y proyección futura
Aunque la actividad principal sigue siendo la exfiltración y extorsión de datos, el grupo ha insinuado el desarrollo de su propio ransomware “Sh1nySp1d3r”, destinado a competir con LockBit y DragonForce. Este último, según Acronis, ha iniciado una cooperación con Qilin y LockBit para compartir infraestructura y técnicas BYOVD (Bring Your Own Vulnerable Driver), utilizando drivers vulnerables como truesight.sys o rentdrv2.sys para desactivar defensas de seguridad.
Históricamente, Scattered Spider ha actuado como Initial Access Broker, aprovechando ingeniería social avanzada, acceso remoto (ScreenConnect, AnyDesk, TeamViewer, Splashtop) y técnicas de reconocimiento extensivo. Esta relación directa con DragonForce confirma una cartelización del cibercrimen, similar a lo visto en el pasado con Conti y sus derivados.
Análisis y contexto
Scattered LAPSUS$ Hunters representa una hibridación entre el cibercrimen financiero y el hacktivismo mediático, donde el prestigio y la teatralidad valen tanto como el dinero. Su estructura imita la de una organización formal, con roles administrativos y gestión de marca, mostrando un entendimiento maduro de la ciberguerra.
Para las empresas, este tipo de alianza implica un aumento de riesgo: ataques coordinados, campañas de extorsión pública y fugas masivas de datos bajo una misma “marca criminal.
¿Cómo puede ayudarte Amber Solutions?
Desde Amber Solutions, recomendamos servicios de Threat Intelligence y DFIR , esenciales para anticipar campañas de extorsión, rastrear infraestructuras en Telegram y responder ante brechas con rapidez. Nuestros servicios de Pen Testing y Red Teaming permiten evaluar la resistencia frente a vectores de entrada como el vishing o la explotación de vulnerabilidades corporativas.
Porque entender las alianzas criminales como la de Scattered LAPSUS$ Hunters es clave para anticipar y neutralizar las amenazas antes de que golpeen. Amber Solutions puede ayudarte a lograrlo, combinando inteligencia, simulación y respuesta avanzada.
