Scattered Lapsus$ Hunters: La fragmentación posterior a Lapsus y la conexión rusa

Robert Maxwell

Una evaluación de inteligencia cibernética - Observatorio de Ciberdefensa, Universidad Francisco de Vitoria

1.     Resumen ejecutivo

• Por qué es importante ahora. SLH se ha convertido en un grupo híbrido de extorsión de gran impacto durante 2023 y 2024, combinando ingeniería social, intrusiones estructuradas y operaciones de información agresivas. Su trayectoria actual lo convierte en una amenaza importante para las organizaciones de toda Europa y Norteamérica.

• Una convergencia de tres actores. SLH es el producto de las habilidades de explotación de identidades de Scattered Spider, el modelo de extorsión de alta visibilidad de Lapsus$ y la disciplina comercial de ShinyHunters. No surgió de un solo grupo, sino de la unión de capacidades complementarias. Las afirmaciones sobre su desaparición son prematuras.

• Una clara huella rusa. Las técnicas, la infraestructura y los patrones de comportamiento de SLH se alinean con los ecosistemas ciberdelictivos de habla rusa conocidos, en particular la diáspora posterior a Conti. El momento y la naturaleza de la mejora de sus capacidades refuerzan en gran medida la valoración de que la experiencia rusa existente ha moldeado la evolución de SLH

• La narrativa adolescente no se sostiene. Las operaciones atribuidas a Lapsus$ y SLH requirieron manejo interno, intrusión en múltiples etapas, seguridad operativa y negociación en los mercados criminales. Estas son funciones que exigen madurez y experiencia, lo que indica la presencia de coordinadores adultos ocultos que dirigen a actores frontales más jóvenes.

• La presión psicológica como método. SLH utiliza filtraciones programadas, revelaciones escenificadas y mensajes públicos dirigidos para desestabilizar a las organizaciones víctimas. Se trata de una metodología de extorsión estructurada, más que de una búsqueda impulsiva de publicidad, y acorta significativamente los ciclos de toma de decisiones de las empresas.

• Un costoso dilema al descubierto. El reciente ataque a Jaguar Land Rover muestra cómo un rescate por valor de millones puede provocar pérdidas operativas que se miden en miles de millones, lo que revela la influencia estructural que SLH tiene ahora sobre las cadenas de suministro industriales estrechamente vinculadas.

• Persisten las lagunas de inteligencia. Siguen existiendo incertidumbres clave en torno al liderazgo interno de SLH, las vías de reclutamiento, la cadena de suministro de infraestructuras y los intermediarios financieros. Los avances en la atribución dependerán del acceso a filtraciones internas, la observación de configuraciones operativas erróneas o el rastreo de los flujos financieros vinculados a redes de intermediarios rusos conocidos.

2. Orígenes y evolución

2.1 Linajes de los componentes

2.1.1 Scattered Spider

Scattered Spider es un grupo de intrusión vagamente definido que surgió alrededor de 2022 y se centra en la ingeniería social de alta calidad, los proveedores de identidades y la infraestructura de telecomunicaciones. El grupo ha demostrado un éxito constante en comprometer los servicios de asistencia externalizados, los sistemas de identidad y los flujos de inicio de sesión único, aprovechando las vulnerabilidades humanas en lugar de las técnicas. Aunque a menudo se le describe como un colectivo juvenil, Scattered Spider ha llevado a cabo intrusiones en varias etapas, ha manejado sistemas corporativos privilegiados y ha colaborado con intermediarios de acceso de una manera que sugiere el apoyo de operadores más experimentados.

2.1.2 Lapsus$

Lapsus$ ganó visibilidad internacional a finales de 2021 a través de una serie de violaciones basadas en la extorsión contra los principales proveedores de tecnología, telecomunicaciones y servicios de identidad. El grupo se distinguió por utilizar credenciales robadas, reclutar a personas con información privilegiada y ejercer presión pública a través de Telegram, en lugar de basarse en el cifrado. La estructura interna del grupo era impredecible, pero su acceso a los mercados criminales y a las redes de información privilegiada no encajaba con la idea de un equipo puramente adolescente. Tras las detenciones de 2022, el grupo se fracturó en grupos más pequeños que intentaron continuar con el modelo de Lapsus con distintos grados de éxito.

2.1.3 ShinyHunters

ShinyHunters, activo desde aproximadamente 2020, es un grupo dedicado a la violación de datos y el robo de credenciales, conocido por comprometer a gran escala plataformas en línea y la posterior venta de bases de datos en mercados clandestinos. A diferencia de Lapsus$, ShinyHunters opera con disciplina comercial y un posicionamiento a largo plazo dentro de los mercados de datos ilícitos. Sus principales contribuciones a SLH incluyen el conocimiento del corretaje de datos, las relaciones establecidas con los operadores del mercado y la experiencia en la monetización de grandes bases de datos.

2.2 Convergencia en Scatter Lapsus Hunters

SLH representa la convergencia funcional de los tres linajes descritos anteriormente. De Scattered Spider, SLH hereda la ingeniería social avanzada y el enfoque en los sistemas de identidad. De Lapsus$, toma el modelo de extorsión de alta visibilidad y el uso de la presión pública a través de Telegram. De ShinyHunters, obtiene la disciplina comercial y el acceso a las redes de intermediación de datos.

Esta convergencia no indica una fusión formal, sino que refleja la forma en que evolucionan los ecosistemas ciberdelictivos modernos cuando múltiples grupos operan en mercados superpuestos, comparten el acceso a la infraestructura y, en algunos casos, intercambian personal. Por lo tanto, SLH debe entenderse como un actor compuesto y no como el sucesor directo de ningún grupo en particular.

2.3 La inverosimilitud de la narrativa del adolescente

La narrativa pública de que Lapsus$ y sus entidades sucesoras estaban impulsadas únicamente por adolescentes siempre ha sido analíticamente débil. Si bien es evidente que algunos operativos más jóvenes participaron, las campañas atribuidas a Lapsus$ requerían la adquisición de información privilegiada, seguridad operativa, capacidad de intrusión multivectorial y negociación con mercados criminales. Estas actividades suelen exigir madurez, experiencia y relaciones establecidas dentro de la economía sumergida. Las detenciones de 2022 eliminaron a las personas visibles, pero no abordaron los facilitadores estructurales que proporcionaban dirección, infraestructura y coherencia comercial. SLH muestra el mismo patrón de aparente fachada juvenil y liderazgo adulto oculto, lo que concuerda con los precedentes históricos de grupos como Wizard Spider, FIN7 y los ecosistemas más amplios de TrickBot y Conti.

2.4 ContiLeaks y la fractura del panorama del ransomware ruso

El cambio estructural más significativo en el ecosistema ciberdelictivo mundial se produjo en marzo de 2022, tras la invasión de Ucrania por parte de Rusia. La publicación de ContiLeaks sacó a la luz las comunicaciones internas, la jerarquía y los procesos operativos del sindicato de ransomware Conti. Contrariamente a las interpretaciones iniciales, Conti no desapareció. Se fracturó. Los desarrolladores, negociadores, intermediarios de acceso y especialistas en infraestructura se dispersaron por la economía sumergida y reaparecieron con múltiples identidades nuevas. Esta diáspora exportó las técnicas maduras de Conti al mercado y permitió un aumento de la capacidad de los grupos emergentes o híbridos.

La aparición de SLH coincide con este periodo de fragmentación. La evolución técnica del grupo, en particular su rápida progresión de intrusiones oportunistas a intrusiones estructuradas, es coherente con la presencia de antiguos operadores vinculados a Conti que ofrecen conocimientos especializados o formación como autónomos.

2.5 Posicionamiento de SLH en el panorama posterior a Lapsus y Conti

SLH ocupa una posición única creada por el colapso casi simultáneo de Lapsus$ y la fragmentación de Conti. La desaparición de las figuras visibles de Lapsus creó un vacío estratégico en el espacio de extorsión de alta visibilidad, mientras que la diáspora de Conti introdujo un gran número de operadores altamente cualificados de habla rusa en el mercado en general. Por lo tanto, SLH debe considerarse como un resultado híbrido de estos dos colapsos, que combina la agresividad pública de Lapsus con la disciplina operativa que caracteriza a los grupos ciberdelincuentes rusos.

El ataque a Jaguar Land Rover pone de relieve el dilema fundamental al que se enfrentan las empresas modernas. Pagar un rescate de varios millones de libras es inaceptable, pero negarse a pagar ya ha generado pérdidas de miles de millones debido a la interrupción en cadena de la cadena de suministro. Este desequilibrio es precisamente la ventaja que SLH ha aprendido a explotar.

Jaguar Land Rover se enfrenta ahora al dilema que define las operaciones de extorsión modernas. Por un lado, pagar un rescate de varios millones de libras sería políticamente tóxico, perjudicial para la reputación y potencialmente ilegal, dependiendo de los beneficiarios. Por otro lado, negarse a pagar ya ha provocado pérdidas por valor de miles de millones debido a la interrupción de la producción, el estancamiento de las cadenas de suministro y la inestabilidad operativa a largo plazo. Esta es la asimetría estructural que explota SLH. La ventaja financiera de estos grupos no radica en la suma del rescate en sí, que es insignificante en comparación con la facturación de un fabricante automovilístico mundial, sino en el desequilibrio económico desproporcionado que provoca la interrupción de sistemas industriales estrechamente interconectados. En términos prácticos, la cuestión ya no es si una organización puede permitirse pagar un rescate, sino si puede permitirse las consecuencias de no pagarlo.

3. Tácticas, técnicas y procedimientos (TTP)

3.1 Ingeniería social básica

SLH se basa en gran medida en las técnicas de ingeniería social características tanto de Lapsus$ como de Scattered Spider. Entre ellas se incluyen el intercambio de tarjetas SIM, el vishing selectivo y la manipulación de los procedimientos de autenticación del servicio de asistencia técnica para eludir la autenticación multifactorial. El grupo se centra en los sistemas de identidad y la toma de decisiones humanas como vectores de ataque principales.

3.2 Uso de herramientas legítimas

En consonancia con Lapsus$ y grupos rusos como Wizard Spider, SLH emplea técnicas de «vivir de la tierra» (living off the land) para mezclar la actividad de intrusión con acciones administrativas legítimas. El uso de herramientas de administración remota, consolas de gestión en la nube y sistemas de telefonía corporativa interna se ha convertido en un elemento central del modelo operativo del grupo.

3.3 Alarde público como presión operativa

SLH se asemeja a Lapsus$ en su entusiasmo por la comunicación pública durante las intrusiones. Se utilizan canales de Telegram para presionar a las víctimas, anunciar las violaciones y socavar la gestión de crisis corporativa. Este comportamiento crea una apariencia de inmadurez, aunque la sincronización estructurada de estos anuncios indica una estrategia deliberada de presión psicológica más que una simple fanfarronería.

3.4 Indicadores de mentoría externa

SLH muestra una notable mejora en su capacidad técnica en comparación con las primeras actividades de Lapsus. Esto incluye un mejor movimiento lateral, una mejor escalada de privilegios y una gestión de la infraestructura más sofisticada. Varias campañas muestran una superposición de herramientas con los mercados de habla rusa, especialmente en las áreas de ofuscación, despliegue de cargas útiles e intermediación de accesos. Las pruebas acumuladas sugieren que SLH se beneficia de la mentoría o la asistencia de operadores con una experiencia significativa.

4. El nexo ruso: técnicas, herramientas e influencia

4.1 Convergencia de técnicas

SLH muestra rasgos de comportamiento que coinciden con los de los grupos ciberdelincuentes rusos. Entre ellos se incluyen el reconocimiento sistemático, el movimiento lateral estructurado, la escalada cuidadosa de privilegios y la integración de servicios de intermediación de acceso. Grupos como Wizard Spider, FIN7, TrickBot y los primeros operadores de Ryuk utilizaban métodos similares.

4.2 Correlación de herramientas

Las campañas de SLH han demostrado tener acceso a herramientas, criptadores y servicios clandestinos que se comercializan habitualmente en foros en ruso. Parte de la infraestructura del grupo se ha relacionado con servicios de alojamiento a prueba de balas asociados históricamente con operadores criminales rusos. Aunque ninguno de estos indicadores es concluyente por sí solo, el patrón combinado es coherente con la influencia o participación rusa.

4.3 Efectos de la diáspora posterior a Conti

Tras el ContiLeaks, un gran número de operadores experimentados se convirtieron en autónomos. Muchos proporcionaron acceso, formación y apoyo técnico a grupos emergentes. El rápido desarrollo de SLH es coherente con la participación de uno o más especialistas posteriores a Conti que ofrecen servicios o actúan como coordinadores.

5. Operaciones de información y presión psicológica

SLH ha adoptado y perfeccionado las estrategias de comunicación pública popularizadas por primera vez por Lapsus$, tratando las operaciones de información como un componente integral del ciclo de vida de la intrusión en lugar de un adorno posterior al compromiso. El grupo se dedica habitualmente a la publicación rápida de datos de las víctimas, avances de filtraciones escenificadas y anuncios programados con el fin de complicar o abrumar los procesos internos de gestión de crisis. Estas revelaciones suelen ir acompañadas de burlas muy visibles a los objetivos en Telegram, lo que crea un impacto en la reputación y obliga a los altos cargos a tomar decisiones reactivas en lugar de estratégicas.

Aunque el tono de estas comunicaciones suele parecer infantil, la secuencia es deliberada. Los mensajes se suelen publicar en momentos calculados para maximizar la interrupción operativa, como inmediatamente después de la detección inicial o durante las primeras fases de contención. Este patrón refleja una metodología de presión psicológica coherente que se acerca más a los manuales de extorsión estructurados utilizados por los grupos de ransomware rusos que al estilo impulsivo que se suele asociar a los colectivos liderados por jóvenes. Al combinar la amenaza a la reputación, la presión operativa y la escalada de la divulgación pública, SLH aumenta el pánico dentro de las organizaciones víctimas y comprime el plazo en el que los altos mandos deben decidir si negociar. Esta combinación de visibilidad y sincronización calculada confiere a SLH un impacto desproporcionado en relación con su tamaño y refuerza su papel como grupo de extorsión híbrido que explota tanto el acceso técnico como el dominio de la información.

6. Atribución y juicio analítico

La atribución en el contexto de SLH sigue siendo un problema analítico complejo y en evolución. El grupo presenta una firma híbrida que se nutre de múltiples culturas operativas, esferas geográficas y ecosistemas criminales. En esta sección se ofrece una evaluación ampliada de las tres hipótesis principales, junto con los niveles de confianza asociados y las lagunas de inteligencia que limitan la atribución definitiva.

6.1 Influencia o tutoría rusa (alta confianza)

La posición analítica más sólida es que SLH incorpora la influencia directa de los ecosistemas ciberdelictivos de habla rusa. Esto no implica necesariamente una alineación organizativa total con ningún grupo ruso en concreto, pero es difícil ignorar el solapamiento técnico y de comportamiento. SLH muestra técnicas propias de los linajes TrickBot, Wizard Spider y Conti, como movimientos laterales estructurados, escalada cuidadosa de privilegios y gestión disciplinada de mecanismos de persistencia. Estas son características de operadores maduros que han estado expuestos de forma continuada a metodologías de estilo ruso.

SLH demuestra las técnicas características de TrickBot, Wizard Spider y Conti, desde el movimiento lateral estructurado hasta la persistencia disciplinada. Estos patrones apuntan a operadores moldeados por técnicas rusas maduras.

Los patrones de infraestructura refuerzan esta opinión. Varios grupos de intrusión vinculados a SLH han utilizado proveedores de alojamiento a prueba de balas asociados históricamente con actores criminales rusos. El grupo también ha empleado criptadores, ladrones de información y marcos de ofuscación que suelen comercializarse en los mercados clandestinos de habla rusa, en lugar de en los globales. La presencia de estas herramientas no prueba la nacionalidad, pero indica el acceso a proveedores y prestadores de servicios con un perfil operativo claramente ruso.

La diáspora de Conti es especialmente relevante. Tras la filtración de marzo de 2022, numerosos operadores experimentados de Conti se convirtieron en especialistas autónomos. Muchos se dedicaron al trabajo por contrato, prestando apoyo a grupos emergentes o híbridos. El rápido aumento de la capacidad de SLH a partir de mediados de 2022, especialmente en áreas que requieren madurez técnica, es coherente con la presencia de una o más personas formadas por Conti que ofrecen tutoría directa o apoyo en materia de infraestructura. Esto no apunta a una relación de mando rusa completa, pero sí respalda la evaluación de que la influencia rusa está integrada en el desarrollo operativo de SLH.

  Las pruebas generales apuntan a la experiencia rusa como la principal fuerza impulsora de la evolución de SLH, incluso si el propio grupo incluye miembros de diversas nacionalidades.

6.2 Composición híbrida con métodos rusos adoptados (confianza moderada)

Una segunda hipótesis es que SLH es un grupo híbrido formado por operadores de múltiples regiones geográficas que han adoptado TTP de estilo ruso a través de su exposición a los mercados clandestinos, más que a través de la colaboración directa. Esta hipótesis reconoce la globalización de las técnicas de los ciberdelincuentes. Los grupos rusos de ransomware han configurado el panorama actual de las intrusiones hasta tal punto que muchas prácticas operativas que antes eran exclusivas de ellos se han imitado ampliamente.

A través de foros criminales, canales de Telegram, repositorios de herramientas pirateadas y mercados de intermediarios de acceso, los actores menos experimentados pueden aprender la secuencia de intrusión al estilo ruso sin interactuar directamente con los operadores rusos. La misma lógica se aplica a la infraestructura. Los servicios de alojamiento a prueba de balas se pueden alquilar de forma anónima y sin necesidad de pasar por un proceso de selección, lo que permite a los actores no rusos desplegar una infraestructura similar a los clústeres rusos.

Esta hipótesis encaja con el hecho de que SLH se nutre de múltiples linajes. El modelo de Lapsus$ era culturalmente distinto del cibercrimen organizado ruso, pero SLH combina ambos. Los patrones de reorganización del grupo a mitad de campaña, así como su dependencia de operadores jóvenes para la interacción pública, sugieren que SLH puede incorporar a miembros no rusos que simplemente han adoptado los métodos más eficaces disponibles.

La limitación de esta hipótesis es que no explica adecuadamente la coherencia y la profundidad de la evolución técnica de SLH. La técnica rusa no consiste simplemente en utilizar herramientas similares. Se trata de una cuestión de secuenciación, priorización y disciplina operativa, lo que normalmente requiere una importante tutoría. Que SLH reproduzca los aspectos más maduros de la metodología de estilo ruso solo mediante la observación sería inusual, aunque no imposible. De ahí el nivel de confianza moderado.

6.3 Elementos de imitación o bandera falsa (bajo nivel de confianza)

La posibilidad de que SLH imite deliberadamente las técnicas rusas para engañar a los analistas sigue siendo una hipótesis de baja confianza. Las operaciones de bandera falsa se dan en las operaciones cibernéticas, especialmente cuando los operadores estatales tratan de ocultar el origen nacional. Sin embargo, SLH se presenta como un grupo con motivaciones delictivas y no como un representante de un Estado-nación, y la imitación

deliberada es poco común en contextos puramente delictivos, ya que añade una complejidad innecesaria.

Además, la hipótesis del mimetismo tiene dificultades para explicar la coherencia del perfil técnico de SLH. Las operaciones de bandera falsa suelen dejar inconsistencias o discrepancias en las técnicas, como el uso de herramientas al estilo ruso sin la secuenciación o la alineación de comportamiento correspondientes. SLH, por el contrario, muestra ambas cosas. Sus herramientas, infraestructura y comportamiento operativo están alineados de una manera que sugiere métodos aprendidos o heredados, en lugar de una imitación superficial.

SLH también conserva elementos del comportamiento de Lapsus$ y Scattered Spider que socavarían cualquier intento de operación de bandera falsa. Las alardes públicas, la comunicación caótica con las víctimas y la participación de operativos muy jóvenes no son típicas en las actividades estructuradas de bandera falsa. Estos rasgos de comportamiento sugieren que SLH no está tratando de ocultar una identidad nacional, sino que está integrando técnicas de influencia rusa en una cultura organizativa que, por lo demás, es híbrida.

Por estas razones, la imitación sigue siendo la hipótesis menos convincente y se considera poco probable.

Aunque la hipótesis de la influencia rusa es sólida, varias lagunas de inteligencia impiden una atribución definitiva. La visibilidad de las comunicaciones internas de SLH, las vías de reclutamiento y la identidad de sus coordinadores superiores. La información forense sobre las cadenas de suministro que sustentan su infraestructura sigue siendo incompleta, y la estructura de propiedad de sus canales de Telegram y sitios de filtración sigue sin estar clara. Para tener una mayor confianza se necesitarían datos observables, como la filtración de la zona horaria del operador, la reutilización de credenciales vinculadas a personas conocidas de Conti, el rastreo financiero que se cruza con las redes de corredores rusos o la aparición de filtraciones de chats internos similares a las de ContiLeaks. Hasta que se disponga de tales pruebas, la atribución debe seguir siendo probabilística y no concluyente.

7. Perspectivas de futuro

Es probable que SLH siga evolucionando hasta convertirse en un grupo híbrido de extorsión más capaz. Entre los desarrollos previstos se incluyen:

• Una mayor alineación con los mercados de corredores de acceso

• Mayor sofisticación en la explotación de identidades

• Continuación de la dependencia de las operaciones de presión psicológica

• Atacar a los sectores de las telecomunicaciones, los proveedores de identidad, los servicios financieros y el comercio minorista

El grupo está estructuralmente posicionado para convertirse en un actor importante en el panorama de amenazas entre 2025 y 2027.

8. Conclusiones

SLH representa un nuevo modelo híbrido de ciberchantaje. Se ha formado a raíz del colapso de Lapsus$, la fragmentación de Conti y la convergencia de las técnicas de Scattered Spider y ShinyHunters. El grupo combina la agresividad visible de las intrusiones lideradas por jóvenes con la disciplina operativa de los ecosistemas criminales rusos. Su aparición refleja una tendencia más amplia en la que el chantaje de alta visibilidad, la explotación de identidades y las técnicas rusas heredadas se combinan para crear adversarios muy disruptivos.

Las organizaciones deben tratar las intrusiones al estilo SLH como una amenaza habitual y prepararse en consecuencia mediante controles de identidad por capas, procesos de autenticación interna mejorados y una planificación mejorada de la respuesta a incidentes.