Devel Group presenta un análisis técnico y operativo exhaustivo sobre la alianza criminal autodenominada Scattered Lapsus$ Hunters, responsable en 2025 de una serie de intrusiones coordinadas que afectaron a más de 90 organizaciones globales de alto perfil. Nuestra investigación demuestra que estas campañas no explotaron vulnerabilidades de plataforma, sino que se basaron en un conjunto sofisticado de técnicas centradas en la ingeniería social y el abuso de mecanismos de identidad y autorización en entornos SaaS, con impactos significativos en la confidencialidad, disponibilidad y reputación de las víctimas.
Hallazgos principales
La campaña opera mediante una coalición operativa que combina capacidades de acceso inicial, robo y publicación de datos, y amplificación de extorsión.
El vector dominante es la ingeniería social a escala: vishing automatizado (incluyendo agentes de voz con IA), SIM-swapping, MFA fatigue y reclutamiento de insiders.
El abuso de flujos de autorización (OAuth/SSO) y la autorización de aplicaciones conectadas constituyen la principal vía para obtener tokens persistentes que evaden controles basados en MFA.
Los atacantes realizan exfiltración masiva mediante APIs y herramientas de carga trojanizadas, y amplifican la coacción mediante publicaciones públicas en canales de mensajería y foros, maximizando presión mediática y daño reputacional.
Métodos y TTPs observados
Acceso inicial
Vishing escalado con automatización y síntesis de voz; suplantación de help desk para inducir actions por parte de usuarios.
SIM-swapping y técnicas de MFA fatigue para forzar aprobaciones.
Reclutamiento o compra de credenciales/privilegios a empleados con acceso a SSO, CRM y repositorios.
Persistencia y abuso de autorización
Ingeniería para inducir a usuarios a autorizar aplicaciones conectadas OAuth maliciosas, generando tokens de larga duración.
Trojanización de herramientas legítimas de carga/exportación de datos y uso de remote-admin tools autorizadas socialmente.
Creación de cuentas SSO sombra y abuso de permisos mal configurados.
Evasión y movimiento lateral
Uso de tokens OAuth y cookies robadas para operar via API sin necesidad de autenticación interactiva.
Pivot a integraciones de terceros (repositorios de código, data warehouses, plataformas de colaboración) para escalar privilegios y ampliar superficie de exfiltración.
Exfiltración y coacción
Extracción masiva de CRM, listados de clientes, repositorios y documentos comerciales mediante APIs y exportaciones programáticas.
Publicación selectiva de datos en canales públicos como mecanismo de presión para extorsión y venta de datos.
Impacto observado
Las organizaciones objetivo comparten características: gran volumen de datos sensibles, extensas integraciones SaaS/SSO, help-desk con acceso telefónico y permisos de exportación amplios. El riesgo combinó pérdida de información crítica, exposición regulatoria y daño reputacional, además de la posibilidad de efectos en cadena sobre proveedores y socios.
Recomendaciones operativas de Devel Group (priorizadas)
Control centralizado de aprobaciones de aplicaciones conectadas: bloquear autorizaciones desde enlaces no verificados y forzar aprobación administrativa previa.
Despliegue de MFA resistente a phishing: implementar FIDO2 / hardware keys y eliminar flujos susceptibles a MFA fatigue.
Restricción y auditoría de permisos de exportación: limitar derechos de exportación masiva y generar reglas que detecten patrones de consultas repetitivas y pequeñas.
Monitorización y alertas sobre grants OAuth: instrumentar alertas SIEM/SOAR para aprobaciones inusuales, scopes amplios y creación de nuevas integraciones.
Playbook de respuesta inmediata: procedimientos para revocar tokens, desconectar apps comprometidas, aislar cuentas afectadas y preservar telemetría para análisis forense.
Simulacros y formación específica: ejercicios prácticos de vishing para help-desk y personal con capacidad para autorizar cambios, validación de call-back a números oficiales.
Harden SSO y políticas de acceso condicional: aplicar posture checks de dispositivo, restricciones por ubicación/IP y bloqueo de autenticación heredada.
Metodología de la investigación Devel Group
El estudio integró ingesta y correlación de indicadores públicos, análisis técnico de cadenas de ataque reproducidas en laboratorio controlado, validación de vectores OAuth/SSO en entornos de prueba y seguimiento de actividad pública en canales abiertos para entender tácticas, técnicas y procedimientos. Las conclusiones fueron contrastadas internamente para asegurar aplicabilidad operativa a clientes empresariales.
ConclusióN
Scattered Lapsus$ Hunters representa una evolución en el panorama de amenazas: su estrategia prioriza la manipulación humana y el abuso de flujos de identidad sobre la explotación de fallos técnicos. Esto exige un cambio de paradigma en defensa corporativa: endurecer controles de identidad y autorización, instrumentar detección y respuesta centrada en grants OAuth y preparar capacidades de revocación inmediata. Las organizaciones con grandes ecosistemas SaaS deben priorizar controles en people, apps y respuesta para mitigar efectivamente esta amenaza.
REFERENCIAS
FBI — FLASH: Cyber Criminal Groups UNC6040 and UNC6395 (Compromising Salesforce Instances for Data Theft and Extortion)
https://www.ic3.gov/CSA/2025/250912.pdfGoogle Cloud Blog — The Cost of a Call: From Voice Phishing to Data Extortion (Google Threat Intelligence Group)
https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortionGoogle Cloud Blog — Widespread Data Theft Targets Salesforce Instances via Salesloft Drift (GTIG / Mandiant)
https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-driftSalesloft — Portal de confianza / advisory sobre el incidente Drift (actualizaciones y revocación de tokens)
https://trust.salesloft.com/Cybersecurity Dive — FBI warns about 2 campaigns targeting Salesforce instances (nota de seguimiento)
https://www.cybersecuritydive.com/news/fbi-warns-campaigns-salesforce-instances/760129/The Hacker News — Cybercrime Groups ShinyHunters, Scattered Spider Join Forces in Extortion Attacks on Businesses
https://thehackernews.com/2025/08/cybercrime-groups-shinyhunters.htmlObsidian Security — ShinyHunters and Scattered Spider: A Merger of Chaos in the 2025 Salesforce Attacks
https://www.obsidiansecurity.com/blog/shinyhunters-and-scattered-spider-a-merger-of-chaos-in-the-2025-salesforce-attacksIT Pro — Warning issued to Salesforce customers after hackers stole Salesloft Drift data (resumen del impacto)
https://www.itpro.com/security/cyber-attacks/warning-issued-to-salesforce-customers-after-hackers-stole-salesloft-drift-dataNewsweek — Hackers Issue Ultimatum to Google After Data Breach Warning (nota sobre amenazas públicas y Telegram)
https://www.newsweek.com/hackers-issue-ultimatum-data-breach-2122489
INDICADORES DE COMPROMISO
- gucci-cdn[.]com
cts-comcast[.]com
birdsso[.]com
bestbuy-cdn[.]com
duelbits-cdn[.]com
activecampiagn[.]net
corporatetools-okta[.]com
groups[.]claims
ticket-dior[.]com
company-salesforce[.]com
ticket-companyname[.]com
attribution[.]read
exercises[.]to
company-okta[.]com
company-ticket[.]com
dashboard-salesforce[.]com
sso-company[.]com
companyname-okta[.]com
shinyhunters[.]at
companyname-my-salesforce[.]com
extortion[.]as
email[@]mailshan[.]com
helpdesk-guardprotect[.]com
ai360helpdesk[.]com
helpdesk-academy[.]net
altruistonline[.]shop
helpdesk-direct[.]online
helpdesk-software-29[.]online
helpdeskmaintenanceinc[.]online
cdn-truist[.]com
360aihelpdesk[.]com
helpdesk-truist[.]com
breachforums[.]hn
oktalogin-targetcompany[.]com
targetsname-okta[.]com
targetsname-servicedesk[.]com
targetsname-helpdesk[.]com
targetsname-sso[.]com
targetsname-cms[.]com
justification[.]network
engineering[.]Push
workstations[.]zero
weeks[.]uk
exfiltration[.]how
company-sso-example[.]com
apt[.]tl
accurate[.]financial
assurance[.]by
cookies[.]cloud
proxifier[.]social
devices[.]cloud
rustdesk[.]cloud
