Nuevos grupos de extorsión adoptan tácticas de Scattered Spider para atacar infraestructuras críticas

Grupos de extorsión aceleran ataques inspirados en Scattered Spider

Dos nuevos grupos de ciberdelincuentes, denominados Cordial Spider y Snarky Spider, están implementando tácticas similares a las de Scattered Spider para atacar organizaciones en sectores críticos de infraestructura. Según el informe de CrowdStrike, estos actores, vinculados a la organización The Com, buscan robar datos rápidamente y extorsionar a sus víctimas con demandas millonarias.

Los ataques, que se remontan a al menos octubre de 2025, combinan phishing por voz, ingeniería social y suplantación de páginas de inicio de sesión corporativas para robar credenciales y tokens de sesión. Una vez dentro, los atacantes eliminan alertas y desactivan la autenticación multifactor para moverse libremente por los entornos SaaS de las víctimas.

Sectores más afectados

CrowdStrike señala que estos grupos, compuestos principalmente por hablantes nativos de inglés, se enfocan en empresas estadounidenses de los sectores:

• Académico
• Aviación
• Retail
• Hospitalidad
• Automoción
• Servicios financieros
• Legal
• Tecnología

Además, están estrechamente relacionados con otros subgrupos de The Com, como SLSH y ShinyHunters.

Tácticas de extorsión y acoso

Una vez dentro de los sistemas, los atacantes roban datos sensibles y exigen rescates millonarios. Unit 42 de Palo Alto Networks había advertido previamente que las demandas de Cordial Spider (también conocido como CL-CRI-1116 o UNC6671) suelen superar los siete dígitos. Las víctimas que se niegan a pagar enfrentan ataques de denegación de servicio (DDoS) o tácticas de acoso más agresivas, como el swatting contra empleados de las empresas afectadas.

Snarky Spider, por su parte, emplea estrategias de seguimiento más intimidatorias, incluyendo el envío de amenazas personalizadas y la explotación de información robada para aumentar la presión.

Evasión de detección con proxies residenciales

Para evitar ser detectados, ambos grupos utilizan redes de proxies residenciales, como Mullvad, Oxylabs, NetNut, 9Proxy, Infatica y NSOCKS. Estas redes, que asignan direcciones IP de usuarios domésticos reales, dificultan la identificación de actividades maliciosas al mezclarse con el tráfico legítimo.

Aunque estas redes tienen usos legítimos, los investigadores advierten sobre su explotación por parte de actores criminales para ocultar sus operaciones.

Impacto y respuesta

El dominio de BlackFile, la plataforma de fuga de datos de Cordial Spider, estuvo fuera de línea el pasado miércoles, según confirmó Adam Meyers, vicepresidente senior de operaciones contra adversarios en CrowdStrike. Sin embargo, los expertos subrayan que el cierre de esta plataforma no detendrá las actividades del grupo, que ya ha demostrado capacidad para adaptarse rápidamente.

CrowdStrike y otras organizaciones de ciberseguridad recomiendan a las empresas reforzar sus medidas de seguridad, especialmente en la protección de sistemas de identidad y autenticación, así como implementar monitorización avanzada para detectar comportamientos sospechosos en tiempo real.

«Estos grupos representan una nueva ola de actores de cibercrimen que combinan técnicas sofisticadas con una ejecución rápida y agresiva», declaró Meyers. «Su capacidad para moverse lateralmente en entornos SaaS y evadir detección los convierte en una amenaza significativa para cualquier organización».