La Arácnida Dispersa Evoluciona en 2025 con Nuevo Kit de Phishing y Malware

El notorio grupo de hackers Scattered Spider continúa representando una seria amenaza de ciberseguridad en 2025, a pesar de múltiples arrestos en el último año.

El grupo utiliza tácticas sofisticadas de ingeniería social, pero ha evolucionado sus métodos introduciendo nuevos kits de phishing y un malware Spectre RAT actualizado para atacar a empresas de alto perfil.

Según la empresa de ciberseguridad Silent Push, Scattered Spider sigue participando activamente en ataques a grandes marcas como Nike, T-Mobile, Louis Vuitton y Vodafone. También han ampliado sus objetivos para incluir plataformas de almacenamiento en la nube y de marketing como Pure Storage y Klaviyo.

Desde 2022, el grupo ha estado activo y se dio a conocer inicialmente por irrumpir en empresas como Twilio y MGM Resorts. Lo hizo engañando a los empleados para que entregaran sus credenciales de inicio de sesión y códigos MFA a través de portales de inicio de sesión falsos.

Aunque varios miembros, incluyendo al supuesto líder, Tyler Buchanan, fueron arrestados en 2024, el grupo ha vuelto a la vida desde entonces, probablemente con nuevos miembros y desarrolladores mejorando sus herramientas y técnicas, según lo explicado por Silent Push.

Una de las evoluciones más notables de este año es su adopción del Phishing Kit #5, ahora alojado en Cloudflare. Silent Push explica que la versión actual difiere de las versiones anteriores que redirigían a los usuarios a “Never Gonna Give You Up” de Rick Astley como una broma, porque opera de manera más discreta y es más difícil de detectar.

En otro cambio preocupante, el grupo ha comenzado a aprovechar subdominios públicamente alquilables, como klv1.it[.]com, que imitan servicios legítimos. Estos subdominios, a menudo vinculados a proveedores de DNS dinámicos, son más difíciles de rastrear debido a su falta de registro de dominio tradicional.

Silent Push advierte que las organizaciones deberían considerar bloquear estos dominios a nivel de red para reducir la exposición.

Además, se ha vinculado a Scattered Spider con la readquisición de un dominio que una vez fue propiedad de Twitter/X: twitter-okta[.]com. Aunque sigue siendo incierto si el dominio se utilizará en futuras campañas, subraya la persistencia del grupo en explotar activos digitales descuidados o abandonados, dice Silent Push.

El grupo Scattered Spider continúa evolucionando como una amenaza peligrosa en 2024 debido a su capacidad para adaptar su infraestructura y malware mientras encuentra nuevos vectores de ataque. La continua evolución del grupo muestra que no han completado sus operaciones.

Las organizaciones deben mantenerse vigilantes mientras rastrean comportamientos inusuales y mantener actualizadas las medidas de seguridad para prevenir ataques de esta persistente organización de cibercriminales.