Dentro de Scattered Spider (también conocido como Sp1d3rhunters): El grupo sombrío detrás del incidente cibernético de Jaguar Land Rover

Esta publicación es la segunda de nuestra serie sobre el incidente cibernético de Jaguar Land Rover. Puedes leer la primera parte aquí.

La aparición de Scattered Spider, también conocido como Sp1d3rhunters o Shiny Hunters, el grupo que reclama la responsabilidad por el incidente cibernético de Jaguar Land Rover, señala un nuevo salto evolutivo en el panorama mundial de TTP de actores de amenazas. Lo que los distingue es su modus operandi cuidadosamente elaborado, uno que fusiona tres ingredientes potentes para notoriedad instantánea en el ciberespacio: datos de clientes, grandes marcas y un modelo único de ingresos y operación para apuntar a las víctimas.

Para el ojo inexperto, Scattered Spider puede parecer solo otro actor de amenazas persiguiendo el rescate. Sin embargo, cuando se rasca la superficie, uno empieza a ver capas operativas que apuntan inequívocamente a un nivel de evolución más alto tanto en términos de TTP como en términos de tácticas de presión post-incidente. Ahora entendamos al grupo en detalle para comprender por qué el incidente de Jaguar Land Rover está resultando ser un asunto tan prolongado.  

Este grupo surgió en el año 2020 a través de una serie de brechas globales. Tenemos razones para creer que el grupo fue iniciado por exmiembros de ALPHV y RansomHub. El grupo posiblemente fue incubado por uno de estos grupos y proporcionó datos y credenciales robados para violar redes objetivo en sus etapas iniciales. Utilizando un enfoque de mejor en su clase, Scattered Spider rápidamente ganó vida propia y, a medida que los contadores de ingresos comenzaron a tararear, el grupo comenzó a prestar más atención a su modelo de negocio.

Entre 2021 y 2023, el grupo experimentó una serie de cambios de liderazgo con la edad promedio de los líderes reduciéndose en casi una década. Durante este período, varios nuevos individuos ingresaron al grupo mientras los mayores se retiraron. Los novatos se asentaron bastante rápido y continuaron expandiendo operaciones, como es evidente por la lista de crímenes exitosos cometidos por Scattered Spider, incluso durante el período de transición.

Incluso para los actores de amenazas más sofisticados, los modelos de negocio y operación generalmente se basan en recaudar rescate mientras puedan y luego desaparecer en las sombras. ShinyHunters es una excepción a esta tendencia. No solo ha desarrollado modelos para sostener ingresos para sus operaciones, también opera una de las más maduras operaciones de ransomware como servicio con múltiples modelos de reparto de ingresos amigables con afiliados. No es de sorprender que su base de afiliados haya crecido un asombroso 700 por ciento en los últimos dos años.

Son fácilmente uno de los grupos de cibercrimen más colaborativos que existen. Gracias a una estructura de liderazgo flexible con vínculos profundos con múltiples actores de amenazas establecidos, ShinyHunters tiene muchos proyectos de cibercrimen activos ejecutándose con grupos alrededor del mundo. Hoy, un gran número de los más de 400 incidentes cibernéticos atribuidos al grupo son realizados por afiliados a través del modelo de reparto de ingresos.

Apuntando a grandes marcas

Además de buscar publicidad por sus acciones, Scattered Spider tenía a grandes marcas en la mira desde que comenzó sus operaciones. En sus fases iniciales, los objetivos fueron una mezcla de grandes y pequeñas marcas elegidas aparentemente por ingresos. Zoosk, Home Chef, Minted, Chatbooks y el Chronicle of Higher Education, Tokopedia y Wattpad fueron algunas de sus primeras víctimas.

En los años siguientes, a medida que el nuevo liderazgo comenzó a asentarse, el grupo amplió sus operaciones para apuntar a muchas pequeñas y medianas empresas que pagaron rescates en silencio por temor a la atención regulatoria o el escrutinio de los inversores.

En 2024, el grupo fue detrás de AT&T, Twillo y Ticketmaster, entre otras grandes marcas, adquiriendo confianza y una insaciable hambre de publicidad en el proceso. Al llegar el año 2025, el grupo había crecido y sus afiliados extendieron tentáculos a través de la web atrapando varias grandes marcas, incluidas:

· Google: Violado a través de un entorno CRM de terceros, exponiendo información de contacto de clientes empresariales.

· Kering (Gucci, Balenciaga, Alexander McQueen): Datos de clientes del grupo de moda de lujo fueron comprometidos.

· LVMH (Louis Vuitton, Dior, Tiffany & Co.): Accedieron a una base de datos de información de clientes

· Air France-KLM: Datos de servicio al cliente, incluidos nombres e información del programa de fidelidad, fueron accedidos.

· Adidas: Supuestamente se robaron tickets de servicio al cliente.

· Chanel: Se comprometió una base de datos de atención al cliente.

· Pandora: Se accedió a perfiles de clientes.

· Qantas: Los datos de clientes almacenados en una plataforma CRM fueron violados.

· Allianz Life: La sucursal norteamericana del gigante asegurador fue apuntada.

· Cisco: Se robaron datos de perfiles de usuarios desde un sistema CRM.

· Cartier: Se accedió a información limitada de clientes.

· Workday: Se violó una base de datos de soporte al cliente.

· El Centro Nacional de Información Crediticia de Vietnam (CIC): Scattered Spider afirmó haber exfiltrado cerca de 160 millones de registros.

Modus operandi

A diferencia de otros grupos, que confían puramente en la suplantación de dominio, phishing y vishing, Scattered Spider fue un paso más allá al combinar estos métodos con la manipulación de aplicaciones MFA. El ataque comienza con una llamada realizada por un miembro de la pandilla haciéndose pasar por el equipo de soporte a un empleado preidentificado. Se guía al empleado para que despliegue un cargador de datos modificado para permitir al miembro de la pandilla acceder a los datos del CRM.

El ataque luego se escala para apuntar a múltiples sistemas. De la información preliminar disponible, parece que el grupo pudo penetrar profundamente en las redes de Jaguar Land Rover con acceso a múltiples aplicaciones y datos. Parece que Jaguar está intentando controlar la propagación de la brecha deshabilitando los sistemas afectados. Sin embargo, en los primeros días cuando el radio exacto de impacto no era conocido, es posible que algunos sistemas afectados en Jaguar Land Rover se mantuvieron 'activos' lo que llevó a la pérdida de datos, extensión del impacto del sistema y retraso en la recuperación. 

Filtrar datos, extorsión doble y amenazas abiertas a través de plataformas sociales es una táctica común utilizada por este grupo. Scattered Spider también es conocido por usar credenciales robadas y aplicaciones de víctimas secuestradas para enviar correos de phishing a víctimas potenciales completamente nuevas. 

¿Qué pasa con los arrestos?

Estados Unidos y Reino Unido recientemente acusaron a dos miembros del grupo que fueron arrestados anteriormente. Estos arrestos, así como un mensaje enviado por el grupo en su canal de Telegram que decía: “Nosotros LAPSUS$, Trihash, Yurosh, yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari, y entre muchos otros, hemos decidido desaparecer,” indican que el grupo solo está cubriendo pistas y desapareciendo por el momento para resurgir más tarde. La dirección del grupo aún está en libertad y veremos que reaparecerán como una organización rebrandeada muy pronto.

Obtén un informe personalizado de amenazas para tu organización. Habla con nuestro equipo de investigación de amenazas.