El panorama de la amenaza cibernética está en constante cambio, sin embargo, pocos grupos se han adaptado y evolucionado tan rápidamente como «araña dispersa». Compuesto principalmente a adolescentes y adultos jóvenes en los Estados Unidos y el Reino Unido, el colectivo se ha convertido en una amenaza prolífica y formidable para las organizaciones en 2025. Utilizando ingeniería social Como vector de acceso inicial, la araña dispersa se ha infiltrado en numerosas organizaciones globales de alto perfil, extorsionando millones en el proceso.
¿Qué es la araña dispersa?
Spattered Spider es una designación de la industria de la seguridad cibernética para referirse a la actividad que involucra ingeniería social, robo de credenciales y intercambio de SIM, acceso inicial, implementación de ransomware y robo y extorsión de datos. El término, utilizado principalmente para el seguimiento e informes, abarca la actividad de los canales y grupos de telegrama como «The Com», «Star Fraud» y «Lapsus $».
Los TTP utilizados por este grupo también se superponen con fugas de datos y colectivos de extorsión como «cazadores brillantes». El verano pasado, se observaron varias demandas de extorsión de los usuarios por «Spidermandata», «Sp1d3r» y «Sp1d3r Hunters». Más recientemente, se han observado a través del canal de Telegram, «Lapsus $ cazadores dispersos».
Las designaciones adicionales de la industria para este grupo incluyen:
Tempestad de octo
Borrar
Libra confundido
UNC3944
UNC6040
Los miembros del grupo también se han asociado con grupos de ransomware como servicio (RAAS), como:
Alphv/Blackcat
Hacer
Dragonforce
Ransomhub
Hellcat
Recientemente, el grupo afirmó desarrollar un grupo RAAS llamado «Shinyspider» o «ShinySP1D3R».
¿Quién tiene un objetivo de araña disperso?
La araña dispersa adopta un enfoque de onda, donde eligen una industria en particular, y luego atacan tantas organizaciones que operan dentro de ese sector durante un período corto. Es probable que las industrias se elijan en función de la rentabilidad percibida o la facilidad de la ingeniería social. Si bien este estilo de campaña no es exclusivo de Actores de amenazaes una característica distinta de las operaciones de este grupo.
Estos ataques de olas basados en el sector incluyeron una campaña centrada contra los servicios financieros a fines de 2023, compañías de servicios de alimentos en mayo de 2024 y una campaña del sector minorista de alto perfil contra minoristas del Reino Unido y EE. UU. juego de azar. Favorecen las grandes empresas para un mayor impacto y apalancamiento de rescate.
Alerta: el FBI ha observado recientemente el grupo cibercriminal dispersó la expansión de su objetivo para incluir el sector de las aerolíneas. Estos actores dependen de técnicas de ingeniería social, a menudo se hacen pasar por empleados o contratistas para que lo engañen a los escritorios a otorgar acceso. … pic.twitter.com/gowmbsabby- FBI (@FBI) 27 de junio de 2025
Dispersó la reciente actividad de la campaña de Spider
2025 ha sido particularmente activo para la araña dispersa. La línea de tiempo a continuación destaca el enfoque de onda del grupo, los pivotos a los nuevos sectores y su uso de ataques de cadena de suministro.
EneLa araña dispersa compromete una variedad de minoristas y firmas de seguros del Reino Unido que utilizan ingeniería social.FebEl grupo se infiltra en un minorista del Reino Unido sin nombre a través del robo de credenciales.AbrLa implementación de ransomware de Dragonforce, la araña dispersa interrumpe los sistemas de pago y los pedidos en línea para minoristas prominentes del Reino Unido.PuedeLa araña dispersa lleva a cabo numerosas campañas de extorsión y ransomware, ampliando su objetivo a los minoristas estadounidenses.PuedeEl grupo infringe una importante empresa de tecnología/nube, aprovechando la ingeniería social para el acceso interno de registro.JunLas aerolíneas no identificadas del Reino Unido y los EE. UU., Además de las empresas de logística, son atacadas por una araña dispersa a través del robo de credenciales y el abuso de herramientas de acceso remoto, lo que provocó advertencias del FBI.JulMás de 91 organizaciones globales informan ataques de araña dispersos después de que el grupo viole un CRM ampliamente utilizado.AgoLa incumplimiento de Spider de un CRM ampliamente utilizado se lleva a cabo en el próximo mes a medida que más organizaciones informan públicamente la infiltración y los intentos de extorsión.
Tácticas, herramientas y procedimientos conocidas de Spider dispersas (TTP)
Táctica att & ckNombre de la técnicaID de TO & CKAcceso inicialPhishingT1566AmordazadoT1566.002AcogedorT1566.004Abuso de relaciones de confianzaT1199Acceso a la credencialRobar credenciales (Infentes y Keylogging)N / ADumping de credenciales del sistema operativoT1003PersistenciaCrear una cuentaT1136Agregar dispositivo MFAT15566.006Fideicomiso de IDP externoT1484.002Escalada de privilegiosCuentas válidasT1078Abuso la identidad federada para el privilegio SSOT1484.002Evasión de defensaDeshabilitar herramientas de seguridad (a través de BYOVD)N / AAbusar de las herramientas de administración permitidasT1219Descubrimiento y lateralDescubrimiento de cuentaN / AMovimientoDescubrimiento de infraestructura en la nubeT1538Servicios remotosT1021Creación de instancia de nubeT1578.002ExfiltraciónExfil automatizado al almacenamiento en la nubeT1567Estadificación de datosT1074ImpactoCifrado de datos para el impactoT1486
Ingeniería social y phishing
Una táctica de araña dispersa común implica emplear un servicio de mensajes cortos (SMS) phishing para atraer objetivos a los portales SSO personalizados falsificados. Los nombres de dominio fraudulentos típicos incluyen un nombre de marca o empresa deletreado estrechamente a la fuente legítima. A través de estos mensajes, el grupo dirige a los empleados que ingresen a sus credenciales en el sitio del atacante, sirviendo como el punto de acceso inicial.
En muchos casos, el grupo también emplea ataques de fatiga de MFA, donde bombardean al objetivo con notificaciones push repetidas o indicadores de contraseña en el momento hasta que aceptan y aprueban uno.
La araña dispersa cambia a Vishing
Flashpoint también ha observado el cambio de araña dispersa a usar phishing basado en la voz (Vishing) como su principal técnica de ingeniería social para obtener acceso inicial. Los atacantes lo manipulan y ayudan al personal de la mesa para restablecer las contraseñas y la configuración de MFA haciéndose pasar por empleados, a veces utilizando IA generativa para crear suplantaciones convincentes.
Además, la araña dispersa a veces se dirige a los empleados directamente, haciéndose pasar por la propia mesa de ayuda de la organización. En estos casos, los atacantes intentan engañar a las víctimas para que descarguen y ejecuten software malicioso como Troyanos de acceso remoto (ratas) para tomar el control de su escritorio.
Movimiento lateral
Después de obtener acceso a la víctima a través de credenciales comprometidas, la araña dispersa abusa mucho de las herramientas de administración incorporadas y otro software legítimo para evitar la detección. Durante sus esquemas de ingeniería social, el grupo a menudo convencerá a las víctimas de instalar herramientas de gestión y monitoreo remotos (RMM) bajo la apariencia de soporte de TI. Las herramientas RMM comunes aprovechadas por una araña dispersa incluyen:
Visión de equipo
Anydesk
Screenconnect
Chapotillo
Mazo de la flota
Nivel.io
Pulso
Para facilitar el movimiento lateral, los atacantes también utilizan la red privada virtual (VPN) basada en la nube (VPN) y los servidores proxy para túnel en redes. Debido a que estas son solicitudes permitidas en muchas empresas, los actores de amenaza pueden operar con menos sospecha. En algunos casos, se ha observado que la araña dispersa secuestra la herramienta de detección y respuesta de punto final (EDR) de una víctima mediante el uso de sus características remotas de ejecución de shell o script, convirtiendo efectivamente la herramienta del defensor en una puerta trasera.
Terramientas de malware
Se sabe que la araña dispersa implementa el siguiente malware para fines específicos:
Malware que roba información: El grupo ha utilizado robos de información como Racoon y Vidar para cosechar credenciales, cookies de navegador y tokens de sesión. También han distribuido malware de línea roja.
Troyanos de acceso remoto (ratas): La araña dispersa ha aprovechado ratas como Ave Maria y su malware personalizado, Spectre Rat, con una variante actualizada observada en campañas de 2024 y 2025.
Extorsión
La ganancia financiera ha sido constantemente el principal motivador para el grupo de actores de amenazas. Desde finales de 2023, dispersado Spider ha adoptado un modelo de doble extorsión, que aprovecha el robo de datos y el cifrado de archivos. El grupo ha implementado cargas útiles de ransomware de grupos afiliados creyentes como Alphv/BlackcatRansomhub y Dragonforce.
Proteger contra los actores de amenaza usando Flashpoint
Las tácticas empleadas por la araña dispersa demuestran su capacidad para explotar las debilidades en los programas de seguridad al atacar a las personas en lugar de a los sistemas estrictamente o vulnerabilidades técnicas.
Su uso de la ingeniería social, a través de ataques de fatiga de Vishing, Smishing y MFA, demuestra que incluso las defensas técnicas más avanzadas pueden ser evitadas a través del engaño humano.
Para defenderse de los grupos de actores de amenaza como la araña dispersa, las organizaciones deben implementar un programa de inteligencia de amenazas holísticas. Esto no solo implica mantenerse actualizado en los últimos desarrollos, sino también garantizar que los equipos de seguridad estén equipados con inteligencia procesable que capacite una identificación y respuesta rápida. Para obtener más información sobre la araña dispersa, además de otros grupos de actores prolíficos de amenaza, Solicite una demostración hoy.