A principios de agosto de 2025, un colectivo de delito cibernético previamente tranquilo conocido como araña dispersa resurgió con un nuevo canal de telegrama sorprendente que agrega prueba de sus intrusiones y operaciones de exfiltración de datos.
El nombre del canal fusiona a Shinyhunters, una araña dispersa y Lapsus $, que indica una colaboración, o al menos una marca compartida, entre varios grupos prolíficos de extorsión.
A las pocas horas de su lanzamiento, el canal publicó capturas de pantalla de acceso a la consola a Victoria’s Secret, una muestra de datos de clientes de 100 ingresos de Gucci y listas de bases de datos vendibles de Neiman Marcus y Chanel.
Los analistas de DatabReaches señalaron que este canal amalgamado ha evolucionado más allá de los simples anuncios de fugas en un mercado casi en tiempo real para credenciales robadas y documentos corporativos.
La emergencia de Spider dispersó como agregador público de múltiples campañas de ransomware y robo de datos marca una desviación de sus operaciones anteriores y más clandestinas.
Históricamente, los canales de filtración publicarían una sola declaración seguida de un enlace de descarga o instrucciones de venta. Por el contrario, el nuevo canal intercalará vertidos de datos parciales, argumentos de venta “HMU si interesado”, memes y amenazas directas a entidades como el Ministerio de Justicia del Reino Unido.
Investigadores de recolección de datos identificado Scripts publicados por el grupo para enumerar los repositorios de GitHub que pertenecen a la Agencia de Asistencia Legal.
MinistryOfJustice_Repos_Contents.txt (fuente – DatabReaches.net)
Esta mezcla de prueba y propaganda crea un sentido de transparencia y terror.
Las rápidas revelaciones del canal causaron alarma inmediata en todas las industrias. Los objetivos de alto valor, incluidos Disney, S&P Global, T-Mobile, Nvidia, Otelier, Coinbase, Burger King Brasil, Adidas y Cisco fueron nombrados, con algunos incidentes que vinculan a las filtraciones anteriores de la campaña Snowflake y Salesforce.
Los organismos gubernamentales no escaparon: el Departamento de Seguridad Nacional de EE. UU. Apareció en múltiples publicaciones que muestran listados de directorio de servidores, mientras que las capturas de pantalla insinuaron negociaciones sobre las presentaciones judiciales robadas.
Lista de servidores DHSDCAS (fuente – DatabReaches.net)
El ritmo frenético del canal y el amplio alcance sugieren que la araña dispersa puede estar coordinando o cambiando las operaciones de robo de datos para maximizar el apalancamiento de extorsión.
Mecanismo de infección
El mecanismo de infección de Spider disperso aprovecha un enfoque de varias etapas que comienza con credenciales VPN de phishing y explotado.
Los scripts de acceso inicial, se encuentran en fragmentos de pitón ofuscados, automatizan el despliegue de balizas de ataque de cobalto.
Un fragmento típico reveló el uso de un cargador personalizado que descifra e inyecta shellcode en la memoria sin escribir en el disco:-
import ctypes, base64, subprocess shellcode = base64.b64decode (“… ==”) ptr = ctypes.windll.kernel32.virtualAlloc (none, len (shellcode), 0x3000, 0x40) ctypes.memmove (Ptr, shellcode, len (shellcode))) ctypes.windll.kernel32.createThread (ninguno, 0, ptr, none, 0, none) subprocess.call ((“powershell”, “-nop”, “-w”, “oculto”, “-c”, “invocar-cobaltstrike”)))
Esta ejecución en memoria evade escáneres antivirus tradicionales y herramientas de detección de puntos finales.
Una vez que la baliza está activa, la araña dispersa intensifica los privilegios a través de las vulnerabilidades conocidas del núcleo de Windows antes de implementar ransomware, o exfiltrando datos para la venta, dentro de 48 horas de acceso inicial.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
