El famoso colectivo de cibercrimen conocido como Cazadores dispersos de LAPSUS$ (SLH) ha sido observado ofreciendo incentivos financieros para reclutar mujeres para llevar a cabo ataques de ingeniería social.
La idea es contratarlos para campañas de phishing de voz dirigidas a los servicios de asistencia técnica de TI, dijo Dataminr en un nuevo informe sobre amenazas. Se dice que el grupo ofrece entre 500 y 1.000 dólares por adelantado por llamada, además de proporcionarles los guiones escritos previamente necesarios para llevar a cabo el ataque.
«SLH está diversificando su grupo de ingeniería social al reclutar específicamente mujeres para llevar a cabo ataques de vishing, lo que probablemente aumentará la tasa de éxito de la suplantación de la mesa de ayuda», la firma de inteligencia sobre amenazas. dicho.
SLH, un supergrupo de cibercrimen de alto perfil compuesto por LAPSUS$, Scattered Spider y ShinyHunters, tiene un historial de participación en ataques avanzados de ingeniería social para eludir la autenticación multifactor (MFA) a través de técnicas como Bombardeo rápido del MFA y cambio de SIM.
El modus operandi del grupo también implica apuntar a las mesas de ayuda y centros de llamadas para violar a las empresas haciéndose pasar por empleados y convencerlos de restablecer una contraseña o instalar una herramienta de administración y monitoreo remoto (RMM) que les otorga acceso remoto. Una vez que se obtiene el acceso inicial, se ha observado que Scattered Spider se mueve lateralmente hacia entornos virtualizados, aumenta sus privilegios y extrae datos corporativos confidenciales.
Algunos de estos ataques han llevado además a la implementación de ransomware. Otra característica de estos ataques es la uso de servicios legítimos y redes de proxy residenciales (por ejemplo, Luminati y OxyLabs) para mezclarse y evadir la detección. Los actores de Scattered Spider han utilizado varias herramientas de tunelización como Ngrok, Teleport y Pinggy, así como servicios gratuitos para compartir archivos como file.io, gofile.io, mega.nz y transfer.sh.
En un informe publicado a principios de este mes, la Unidad 42 de Palo Alto Networks, que está rastreando a Scattered Spider bajo el nombre de Muddled Libra, describió al actor de amenazas como «altamente competente en explotar la psicología humana» haciéndose pasar por empleados para intentar restablecer la contraseña y la autenticación multifactor (MFA).
En al menos un caso investigado por la empresa de ciberseguridad en septiembre de 2025, se dice que Scattered Spider creó y utilizó una máquina virtual (VM) después de obtener credenciales privilegiadas llamando al servicio de asistencia de TI y luego la usó para realizar un reconocimiento (por ejemplo, enumeración de Active Directory) e intentar extraer archivos del buzón de correo de Outlook y datos descargados de la base de datos Snowflake del objetivo.
«Mientras se centra en el compromiso de la identidad y la ingeniería social, este actor de amenazas aprovecha herramientas legítimas y la infraestructura existente para integrarse», Unidad 42. dicho. «Operan silenciosamente y mantienen la perseverancia».
La empresa de ciberseguridad también anotado que Scattered Spider tiene una «extensa historia» de apuntar a entornos de Microsoft Azure utilizando Graph API para facilitar el acceso a los recursos de la nube de Azure. El grupo también utiliza herramientas de enumeración en la nube, como ADRecon para el reconocimiento de Active Directory.
Dado que la ingeniería social está emergiendo como el principal punto de entrada para el grupo de delitos cibernéticos, se recomienda a las organizaciones que estén alerta y capaciten al personal de asistencia técnica y de soporte de TI para que estén atentos a los guiones escritos previamente y a las suplantaciones de voz pulidas, apliquen una estricta verificación de identidad, endurezcan las políticas de MFA alejándose de la autenticación basada en SMS y auditen los registros para la creación de nuevos usuarios o la escalada de privilegios administrativos después de las interacciones con la mesa de ayuda.
«Esta campaña de reclutamiento representa una evolución calculada en las tácticas de SLH», dijo Dataminr. «Al buscar específicamente voces femeninas, el grupo probablemente apunta a eludir los perfiles ‘tradicionales’ de los atacantes que el personal de la mesa de ayuda de TI puede estar capacitado para identificar, aumentando así la efectividad de sus esfuerzos de suplantación».
