Scattered Spider: Social Engineering, SIM Swapping y Ransomware-as-a-Service
Perfil de Scattered Spider (UNC3944/Muddled Libra/Star Fraud/Octo Tempest): grupo anglófono especializado en social engineering, SIM swapping e intrusiones en identidad cloud. Ataques a MGM, Caesars, Okta. Afiliado ALPHV/BlackCat.
Scattered Spider es el grupo que demostró que una llamada al helpdesk puede costar 100 millones de dólares
Scattered Spider representa la evolución más peligrosa del cibercrimen joven anglófono. A diferencia de los grupos APT estatales que dependen de exploits sofisticados y malware custom, este colectivo descubrió que la vía más eficaz para comprometer grandes corporaciones es llamar por teléfono al servicio de soporte técnico, hacerse pasar por un empleado y convencer al agente de que resetee las credenciales MFA. Con esa técnica, penetraron algunas de las organizaciones más grandes del mundo, incluyendo MGM Resorts, Caesars Entertainment, Twilio, Mailchimp, Cloudflare y Riot Games. Su posterior afiliación con el grupo de ransomware ALPHV/BlackCat los convirtió en una de las amenazas más completas del panorama actual: social engineering de élite combinado con cifrado de datos a escala empresarial.
Ficha del grupo
| Campo | Detalle |
|---|---|
| MITRE ID | G1015 (Scattered Spider) |
| Nombres | Scattered Spider, UNC3944, Muddled Libra, Star Fraud, 0ktapus, Octo Tempest |
| Atribución | Colectivo criminal descentralizado, predominantemente EEUU y UK |
| País | Estados Unidos / Reino Unido (miembros identificados) |
| Motivación | Financiera (extorsión, ransomware, robo de criptomonedas) |
| Activo desde | 2022 (primeras operaciones documentadas) |
| Edad miembros | 17-25 años al momento de los ataques principales |
| Sectores objetivo | Telecomunicaciones, tecnología, hospitality, gaming, finanzas, retail |
| Afiliaciones | ALPHV/BlackCat (affiliate RaaS), ecosistema "the Com" |
| Estado | Parcialmente activo. Múltiples detenciones 2023-2025, pero nuevos miembros emergen |
Perfil y composición del grupo
Scattered Spider no es una organización jerárquica al estilo de los APTs estatales. Es un colectivo fluido, parte del ecosistema underground anglófono conocido como "the Com" (abreviatura de "the Community"), una red de canales de Telegram y Discord donde jóvenes hackers comparten técnicas, herramientas, credenciales robadas y accesos comprometidos.
Características distintivas
- Edad: la mayoría de miembros identificados tenían entre 17 y 25 años al momento de ser arrestados. No son script kiddies: dominan la ingeniería social a un nivel que supera a muchos operadores profesionales.
- Idioma nativo inglés: a diferencia de la mayoría de grupos de ransomware (rusófonos), Scattered Spider opera en inglés nativo. Esto les da una ventaja enorme en ataques de vishing (voice phishing): suenan como empleados legítimos al llamar al helpdesk.
- Conocimiento profundo de IT empresarial: dominan Okta, Azure AD, Microsoft 365, Google Workspace, AWS, VMware ESXi. No son solo "phone phreakers", entienden la infraestructura cloud moderna.
- Estructura descentralizada: sin líder claro, sin infraestructura centralizada. Miembros rotan, se agrupan por operación, comparten herramientas y accesos en canales privados.
- Intersección con SIM swapping: muchos miembros provienen de la escena de SIM swapping orientada a robar criptomonedas, y llevaron esas técnicas al ámbito corporativo.
Relación con LAPSUS$
Existe solapamiento significativo entre Scattered Spider y el ecosistema LAPSUS$. Microsoft agrupa ambos bajo el paraguas "Octo Tempest" en su taxonomía. Las técnicas son casi idénticas: social engineering, SIM swapping, MFA fatigue. La diferencia principal es que Scattered Spider evolucionó hacia el ransomware (vía ALPHV/BlackCat), mientras que LAPSUS$ se centraba en data leaks y extorsión por vergüenza pública.
Técnicas de social engineering
El arsenal de Scattered Spider se centra en explotar la confianza humana. Estas son sus técnicas documentadas, ordenadas por frecuencia de uso.
Vishing (voice phishing) al helpdesk
La técnica estrella del grupo. El atacante llama al servicio de soporte IT de la empresa objetivo haciéndose pasar por un empleado legítimo. Previamente, ha recopilado información del empleado (nombre, cargo, manager, número de empleado) mediante LinkedIn, redes sociales o data breaches anteriores.
Flujo típico de ataque:
1. Reconocimiento: LinkedIn + data breaches → nombre, email, cargo, manager
2. Pretexto: "Soy [nombre], mi teléfono se rompió, no puedo recibir el MFA push"
3. Objetivo: convencer al agente del helpdesk de resetear la MFA o registrar un nuevo dispositivo
4. Resultado: acceso legítimo a Okta/Azure AD con las credenciales del empleado real
SIM Swapping
El atacante convence al operador de telecomunicaciones de transferir el número de teléfono de la víctima a una SIM controlada por el atacante. Esto permite interceptar códigos SMS de MFA y mensajes de recuperación de cuenta.
Phishing de credenciales (0ktapus toolkit)
Scattered Spider opera campañas de phishing masivas usando un kit conocido como "0ktapus": páginas clonadas de portales de login corporativo (especialmente Okta) que capturan credenciales y tokens MFA en tiempo real, reenviándolos al portal legítimo para obtener una sesión válida (proxy de autenticación en tiempo real).
MFA Fatigue (prompt bombing)
Envío repetitivo de push notifications de MFA al teléfono de la víctima, a cualquier hora, hasta que el usuario acepta una por cansancio o confusión. Frecuentemente combinado con un mensaje de Slack/Teams del atacante haciéndose pasar por IT: "Estamos haciendo un test de seguridad, acepta el push que te va a llegar."
Amenazas y extorsión directa
En casos documentados, cuando las técnicas de persuasión fallaban, miembros de Scattered Spider recurrieron a amenazas directas: llamadas amenazantes a empleados, doxxing (publicación de datos personales) e incluso amenazas de violencia física. Microsoft documentó estas tácticas en su informe de Octo Tempest de octubre 2023.
Campañas documentadas
Campaña 0ktapus (2022)
La operación que puso a Scattered Spider en el mapa. Entre marzo y agosto de 2022, el grupo lanzó una campaña masiva de phishing dirigida a empleados de más de 130 empresas tecnológicas, la mayoría clientes de Okta para gestión de identidad.
| Aspecto | Detalle |
|---|---|
| Periodo | Marzo-Agosto 2022 |
| Víctimas | 130+ empresas tech |
| Método | SMS phishing con links a portales Okta clonados |
| Credenciales robadas | ~10,000 credenciales de empleados |
| Víctimas notables | Twilio, Mailchimp, Cloudflare, Signal (indirectamente vía Twilio) |
| Impacto en Twilio | Acceso a datos de 163 clientes de Twilio, incluyendo cuentas Signal |
| Impacto en Cloudflare | Intento frustrado: empleados usaban hardware keys FIDO2 |
| Kit utilizado | 0ktapus phishing kit (proxy de autenticación en tiempo real) |
El caso de Cloudflare es especialmente instructivo: tres empleados cayeron en el phishing e introdujeron sus credenciales, pero el ataque falló porque Cloudflare ya había migrado a hardware security keys (YubiKey) como único segundo factor. Las llaves FIDO2 son resistentes al phishing proxy porque validan el dominio del sitio.
MGM Resorts (septiembre 2023)
El ataque más impactante de Scattered Spider. Una llamada de 10 minutos al helpdesk de MGM Resorts provocó pérdidas estimadas en 100 millones de dólares.
| Aspecto | Detalle |
|---|---|
| Fecha | 10-11 septiembre 2023 |
| Método inicial | Vishing al helpdesk de MGM |
| Técnica | Suplantación de un empleado, reset de MFA |
| Acceso obtenido | Okta super admin → Azure AD → VMware ESXi |
| Ransomware desplegado | ALPHV/BlackCat |
| Sistemas afectados | Slot machines, check-in hotel, reservas, email, pagos |
| Duración del outage | ~10 días |
| Pérdidas estimadas | 100M USD (comunicado SEC de MGM) |
| Rescate pagado | No. MGM se negó a pagar |
La cadena de ataque completa: vishing al helpdesk para resetear MFA de un empleado IT senior, acceso a Okta como super admin, movimiento lateral a Azure AD, escalada a VMware ESXi, y despliegue de ransomware ALPHV/BlackCat en los hipervisores. Los casinos de Las Vegas operaron con papel y boli durante más de una semana.
Caesars Entertainment (septiembre 2023)
Atacado por el mismo grupo, semanas antes del incidente de MGM. A diferencia de MGM, Caesars decidió pagar.
| Aspecto | Detalle |
|---|---|
| Fecha | Agosto-Septiembre 2023 |
| Rescate demandado | 30M USD |
| Rescate pagado | 15M USD |
| Datos exfiltrados | Base de datos del programa de fidelidad (loyalty) |
| Comunicado | SEC filing 8-K (septiembre 2023) |
Evolución 2024-2026
Tras las detenciones de miembros clave en 2023 y 2024, Scattered Spider no desapareció. El ecosistema "the Com" sigue activo, y nuevos operadores adoptan las mismas técnicas.
- 2024: ataques continuados a empresas de telecomunicaciones y finanzas. Uso creciente de herramientas de remote monitoring (AnyDesk, Splashtop) para persistencia post-compromiso.
- 2024-2025: FBI y CISA emiten múltiples advisories sobre las TTPs del grupo. Operaciones policiales internacionales coordinadas entre EEUU, UK y España.
- 2025-2026: fragmentación del grupo original, pero las técnicas se han "democratizado" en el ecosistema underground. Múltiples grupos menores replican el playbook de vishing + identity provider compromise + RaaS.
Herramientas y arsenal
A diferencia de APTs estatales, Scattered Spider usa predominantemente herramientas comerciales legítimas y software de living-off-the-land.
| Herramienta | Uso |
|---|---|
| 0ktapus kit | Phishing proxy para capturar credenciales y tokens MFA en tiempo real |
| Evilginx2 | Reverse proxy para ataques man-in-the-middle a flujos de autenticación |
| AnyDesk / Splashtop | Remote access para persistencia post-compromiso |
| Mimikatz | Credential dumping en entornos Windows |
| ADRecon | Reconocimiento de Active Directory |
| Impacket | Suite de herramientas de red para movimiento lateral (secretsdump, wmiexec) |
| ALPHV/BlackCat ransomware | Cifrado de datos (como affiliates del RaaS) |
| Ngrok / Cloudflare Tunnel | Túneles inversos para exfiltración y acceso remoto |
| Azure AD tooling | Scripts custom para enumerar y manipular tenants Azure AD |
| PowerShell / Bash | Scripting para automatización de tareas post-compromiso |
Nota relevante: la ausencia de malware custom es deliberada. Al usar herramientas legítimas (living-off-the-land), los atacantes evaden la mayoría de soluciones EDR que buscan binarios maliciosos conocidos.
Técnicas MITRE ATT&CK
| Técnica | ID | Descripción en contexto de Scattered Spider |
|---|---|---|
| Phishing: Spearphishing via Service | T1566.003 | SMS phishing con links a portales Okta clonados (0ktapus) |
| Valid Accounts: Cloud Accounts | T1078.004 | Credenciales legítimas obtenidas vía social engineering |
| Multi-Factor Authentication Interception | T1111 | SIM swapping para interceptar códigos SMS MFA |
| Impersonation | T1656 | Suplantación de empleados en llamadas al helpdesk |
| Account Manipulation: Additional Cloud Credentials | T1098.001 | Registro de dispositivos MFA adicionales en Okta/Azure AD |
| Remote Services: VPN | T1021.001 | Acceso vía VPN corporativa con credenciales robadas |
| Domain Trust Discovery | T1482 | Enumeración de trusts en Azure AD y Okta |
| Permission Groups Discovery: Cloud Groups | T1069.003 | Identificación de grupos con privilegios elevados |
| Data from Cloud Storage | T1530 | Exfiltración de datos desde SharePoint, OneDrive, S3 |
| Data Encrypted for Impact | T1486 | Despliegue de ALPHV/BlackCat ransomware |
| Remote Access Software | T1219 | AnyDesk, Splashtop para persistencia |
| Cloud Service Dashboard | T1538 | Acceso a consolas de administración cloud (Azure, AWS, GCP) |
| Modify Authentication Process | T1556 | Manipulación de MFA y políticas de autenticación en Okta |
| OS Credential Dumping | T1003 | Mimikatz para extracción de credenciales locales |
| Exfiltration Over Web Service | T1567 | Exfiltración a servicios cloud (MEGA, Google Drive) |
Relación con ALPHV/BlackCat (RaaS)
La evolución más significativa de Scattered Spider fue su incorporación como affiliates del programa Ransomware-as-a-Service de ALPHV/BlackCat. Esta relación marcó un punto de inflexión: el grupo pasó de operaciones de robo de credenciales y extorsión por data leak a despliegue de ransomware a gran escala.
Modelo RaaS
ALPHV/BlackCat opera como un servicio: los desarrolladores del ransomware proporcionan el software, la infraestructura de negociación y el blog de leaks. Los affiliates (como Scattered Spider) se encargan del acceso inicial y el despliegue. Los beneficios se dividen típicamente 80/20 (affiliate/operador).
Por qué fue una combinación devastadora
- Scattered Spider aportaba: acceso inicial de alta calidad (identity provider compromise, acceso a super admin de Okta/Azure AD), conocimiento profundo de infraestructura cloud, capacidad de moverse lateralmente en entornos híbridos.
- ALPHV/BlackCat aportaba: ransomware multiplataforma (Windows, Linux, VMware ESXi), infraestructura de negociación TOR, experiencia en extorsión y gestión de pagos en criptomonedas.
Cronología de la relación
- Mediados 2023: primeros indicios de Scattered Spider como affiliate de ALPHV/BlackCat.
- Septiembre 2023: ataques a MGM y Caesars usando ransomware ALPHV/BlackCat.
- Diciembre 2023: FBI incauta infraestructura de ALPHV/BlackCat. El grupo resurge brevemente.
- Marzo 2024: ALPHV/BlackCat ejecuta un "exit scam", apropiándose de un rescate de 22M USD pagado por Change Healthcare y desapareciendo. Scattered Spider y otros affiliates quedan sin plataforma de ransomware.
- Post-2024: indicios de que operadores vinculados a Scattered Spider migran a otros programas RaaS (RansomHub, Qilin).
Detenciones y acciones legales
Las fuerzas de seguridad han logrado identificar y arrestar a varios miembros de Scattered Spider, algo inusual para grupos de cibercrimen que normalmente operan desde jurisdicciones no cooperantes.
| Fecha | Arrestado | Edad | País | Cargos |
|---|---|---|---|---|
| Enero 2024 | Noah Michael Urban | 19 | EEUU (Florida) | SIM swapping, robo de criptomonedas. Se declaró culpable |
| Junio 2024 | Tyler Buchanan | 22 | UK (arrestado en España) | Fraude electrónico, robo de identidad |
| Noviembre 2024 | 5 acusados (DOJ) | 20-25 | EEUU/UK | Conspiración, fraude electrónico, robo de identidad agravado |
| 2024-2025 | Ahmed Elbadawy | 23 | EEUU (Texas) | Cargos federales relacionados con 0ktapus |
| 2025 | Otros miembros | Varios | EEUU | Cargos en curso |
El hecho de que los miembros operen desde EEUU y UK (países con tratados de extradición y cooperación judicial plena) facilitó las investigaciones. Esto contrasta con grupos rusófonos como LockBit o Cl0p, cuyos miembros rara vez son arrestados.
Detección y defensa
Indicadores de compromiso de Scattered Spider
Comportamientos a monitorizar:
- Llamadas al helpdesk solicitando reset de MFA, especialmente fuera de horario laboral
- Registros de nuevos dispositivos MFA en Okta/Azure AD desde ubicaciones inusuales
- Conexiones VPN desde IPs residenciales o mobile hotspots no corporativos
- Instalación de herramientas de remote access (AnyDesk, Splashtop) en endpoints corporativos
- Creación de cuentas de Azure AD o modificación de políticas de acceso condicional
- Uso anómalo de Okta admin APIs
- Exfiltración masiva a servicios cloud (MEGA, Google Drive, SharePoint)
Medidas de defensa recomendadas
Contra social engineering al helpdesk:
- Implementar verificación de identidad robusta en el helpdesk que no dependa de "security questions" o datos que puedan obtenerse en LinkedIn
- Usar callbacks a números registrados en HRIS (no al número que proporciona el llamante)
- Requerir aprobación del manager para resets de MFA de cuentas privilegiadas
- Grabar y auditar todas las interacciones del helpdesk
Contra SIM swapping:
- Eliminar SMS como factor de MFA. Migrar a FIDO2/WebAuthn (hardware keys)
- Implementar number-matching en push notifications de MFA (el usuario debe introducir un número mostrado en pantalla)
- Contactar al operador de telecomunicaciones para activar protecciones anti-SIM swap en las líneas corporativas
Contra phishing proxy (0ktapus):
- Hardware security keys FIDO2 (YubiKey, Titan): son la única defensa efectiva contra phishing proxy, porque validan el dominio
- Certificate-based authentication donde sea posible
- Monitorizar registros de nuevos autenticadores en el IdP
Contra movimiento lateral en cloud:
- Implementar alertas en cambios de roles privilegiados en Azure AD / Okta
- Conditional access policies basadas en dispositivo + ubicación + risk score
- Segmentación de privilegios: separar admin de Okta de admin de Azure AD de admin de VMware
- Monitorizar acceso a hipervisores ESXi (el objetivo final para ransomware)
Reglas de detección (ejemplos):
# Sigma rule: Detección de instalación de AnyDesk en endpoint corporativo
title: Scattered Spider - Remote Access Tool Installation
status: experimental
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith:
- '\AnyDesk.exe'
- '\splashtop\strwinclt.exe'
ParentImage|endswith:
- '\cmd.exe'
- '\powershell.exe'
condition: selection
level: high
tags:
- attack.persistence
- attack.t1219
# Sigma rule: Reset de MFA seguido de login desde nueva ubicación
title: Scattered Spider - MFA Reset Followed by Anomalous Login
status: experimental
logsource:
product: okta
service: okta
detection:
selection_reset:
eventType: 'user.mfa.factor.deactivate'
selection_login:
eventType: 'user.session.start'
timeframe: 1h
condition: selection_reset | near selection_login
level: critical
tags:
- attack.credential_access
- attack.t1556
Estado actual
Scattered Spider sigue siendo una amenaza activa, aunque en forma diferente a su pico de 2023. Las detenciones han debilitado el núcleo original, pero el playbook se ha propagado por el ecosistema "the Com".
Factores que mantienen la amenaza:
- Las técnicas de social engineering contra helpdesks siguen siendo efectivas en la mayoría de organizaciones
- La dependencia de identity providers centralizados (Okta, Azure AD) crea un single point of failure que estos grupos explotan
- El modelo RaaS permite a operadores de social engineering acceder a ransomware sofisticado sin desarrollarlo
- La generación de atacantes jóvenes anglófonos sigue creciendo en el ecosistema underground
Factores que mitigan la amenaza:
- Adopción creciente de FIDO2/WebAuthn elimina el phishing proxy como vector
- Las detenciones envían un mensaje disuasorio a miembros potenciales en EEUU/UK
- Mayor concienciación en helpdesks corporativos sobre ataques de suplantación
- CISA y FBI publican advisories detallados con TTPs específicas
La lección central de Scattered Spider es que la identidad es el nuevo perímetro. Cuando el helpdesk puede resetear la MFA de un super admin de Okta con una simple llamada, toda la inversión en firewalls, EDR y segmentación de red es irrelevante. La defensa más efectiva es tratar cada solicitud de reset de credenciales como un potencial intento de intrusión.
Recursos y referencias
- CISA/FBI Advisory: Scattered Spider TTPs (noviembre 2023)
- Microsoft Threat Intelligence: Octo Tempest crosses boundaries (octubre 2023)
- Mandiant (Google): UNC3944 Analysis (septiembre 2023)
- CrowdStrike: Scattered Spider Advisory (enero 2024)
- Group-IB: 0ktapus: The Phishing Campaign (agosto 2022)
- MITRE ATT&CK: G1015 Scattered Spider
- DOJ Press Release: Five Charged in Scattered Spider Scheme (noviembre 2024)
- Krebs on Security: Scattered Spider Arrests (cobertura continua)
- Palo Alto Unit 42: Muddled Libra Report (junio 2023)
Preguntas frecuentes
Artículos relacionados
LAPSUS$: Adolescentes vs BigTech con Social Engineering Extremo
Cl0p (TA505): Mass Exploitation y Extorsión a Escala
FIN7 (Carbanak): Cibercrimen Financiero Sofisticado
Grupos APT en ATT&CK: Cómo Investigarlos
Atribución y Niveles de Confianza: Framework para Analistas CTI
Automatización de Recolección CTI: n8n, MISP y TheHive Cortex
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.