El famoso grupo cibernético Shinyhunters ha surgido de un paréntesis de un año con una nueva ola sofisticada de ataques dirigidos a las plataformas de Salesforce en las principales organizaciones, incluidas víctimas de alto perfil como Google.
Este resurgimiento marca una evolución táctica significativa para los actores de amenaza de motivación financiera, que tradicionalmente se han centrado en la explotación de la base de datos y el robo de credenciales en lugar de los complejos esquemas de ingeniería social que ahora se están empleando.
Lo que hace que esta campaña sea particularmente alarmante es su sorprendente parecido con las operaciones típicamente atribuidas al colectivo de piratería de arañas dispersas.
La convergencia de las tácticas sugiere una colaboración potencial entre estos dos grupos de amenazas formidables, lo que plantea preocupaciones sobre un paisaje creciente de actividad cibercriminal coordinada.
Los ataques han dirigido específicamente a las organizaciones en los sectores minoristas, de aviación y seguros, con víctimas que abarcan marcas de lujo y proveedores de servicios de tecnología.
Shinyhunters ganó notoriedad por primera vez al anunciar 91 millones de registros de usuarios de Tokopedia para la venta en “Empire Market” en 2020 (fuente – Reliaquest)
Analistas de Reliaquest identificado Evidencia convincente que respalda esta teoría de la colaboración a través del análisis integral de dominio e investigación de infraestructura.
La investigación reveló los dominios de phishing de boletos coordinados y las páginas de recolección de credenciales de Salesforce, lo que indica un enfoque sistemático para la orientación de las víctimas.
En particular, los investigadores descubrieron la aparición de un usuario de Breachforums con el alias “SP1D3RHUNTERS”, una combinación inteligente de ambos nombres de grupos, que estaba vinculado a las infracciones anteriores de Shinyhunters y parecía filtrar datos de Ticketmaster en julio de 2024.
La sofisticación técnica de estos ataques representa una desviación significativa de los métodos históricos de Shinyhunters.
El grupo ha adoptado las técnicas de firma de Spider dispersas, incluidas las campañas de Vishing altamente específicas donde los atacantes se hacen pasar por el personal de TI para manipular a las víctimas para que autoricen las “aplicaciones conectadas” maliciosas.
Estas aplicaciones se disfrazan de herramientas legítimas de Salesforce al tiempo que habilitan la exfiltración de datos a gran escala.
Técnicas avanzadas de infraestructura y evasión
La infraestructura de la campaña revela una planificación meticulosa y capacidades de evasión avanzada.
Los investigadores descubrieron múltiples dominios maliciosos registrados entre el 20 y el 30 de junio de 2025, siguiendo patrones de nombres consistentes como Ticket-Lvmh.com, Ticket-Dior.com y Ticket-Louisvuitton.com.
Estos dominios compartieron características de registro comunes, incluido el registro a través de Internet de OGM utilizando direcciones de correo electrónico temporales como (protegidos por correo electrónico) y servidores de nombres con mascar CloudFlare para una ofuscación adicional.
Página de phishing Okta alojada en Ticket-Dior (.) Com en junio de 2025 (fuente-Reliaquest)
Los atacantes desplegaron kits de phishing sofisticados que organizaban páginas de inicio de sesión de un solo inicio de sesión (SSO), con dominios como Dashboard-Salesforce.com que atiende activamente a las interfaces de cosecha de credenciales de la marca Okta.
Página de phishing alojada en Dashboard-Salesforce (.) COM (Fuente-Reliaquest)
La infraestructura maliciosa aprovechó la ofuscación de VPN a través de los servicios VPN MULLVAD para realizar la exfiltración de datos de las instancias de Salesforce comprometidas.
Particularmente preocupante es el cambio de marca de las aplicaciones legítimas de “cargador de datos” de Salesforce como “mi portal de boletos” durante las campañas de Vishing, lo que demuestra la capacidad del grupo para armarse herramientas comerciales familiares contra los empleados que no son colectores.
Esta evolución táctica, combinada con los patrones de orientación sincronizados observados en las operaciones de arañas Shinyhinters y las arañas dispersas, sugiere que los servicios financieros y los proveedores de tecnología deben prepararse para ataques intensificados en los próximos meses.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
