Grupo Cibercriminal ShinyHunters
.png?v=1781793918)
ShinyHunters es un grupo cibercriminal activo desde 2020 que ha destacado por estar detrás de brechas de seguridad que afectaron a víctimas de renombre, como Google y Cisco, usando técnicas de ingeniería social como vishing (phishing por voz) para robar información de instancias de Salesforce CRM. Aunque su principal motivación es económica, ShinyHunters también busca causar daño reputacional en sus víctimas.
En sus inicios, se centraban en robar credenciales y aprovechar vulnerabilidades en aplicaciones en la nube y bases de datos de sitios web. Con el tiempo, han desarrollado técnicas de ingeniería social gracias a su relación con otros grupos cibercriminales como Scattered Spider.
El ataque de ShinyHunters empieza con la recolección de información de empleados, buscando en LinkedIn y directorios públicos de la empresa, para identificar a usuarios con permisos administrativos en Salesforce. Con esto pueden iniciar sus campañas de vishing en las cuales se hacen pasar por personal de TI con ayuda de software que altera la voz y manipulación emocional induciendo un sentido de urgencia.
Durante la llamada, los atacantes guían a los empleados a una página de autorización de Salesforce legitima (login[.]Salesforce[.]com/setup/connect) con el propósito de que autoricen software malicioso. Dicho software es una versión modificada de la aplicación Salesforce Data Loader en la cual se le solicita al empleado ingresar un código de autorización de 8 dígitos generado por el atacante. Al hacerlo, se conceden permisos de API avanzados con los cuales se puede exportar información. De acuerdo con los registros de monitoreo de eventos, el ID de la aplicación maliciosa es: 889Kb100000KFJc.
Una vez que el grupo tiene acceso, utiliza diferentes técnicas para extraer información. Con ayuda del endpoint API REST legítimo de Salesforce (/services/data/v62.0/query) pueden ejecutar consultas de su preferencia usando el lenguaje SOQL (Salesforce Object Query Language). Se ha observado que, por cada request a la API, se extraen aproximadamente 2.3 MB con más de 400 registros de información confidencial. Todas las actividades de exfiltración de datos se enrutan a través de las direcciones IP de Mullvad VPN y las redes Tor para evadir la detección.
El grupo ShinyHunters aprovecha su acceso inicial para moverse lateralmente y elevar sus privilegios, facilitando el acceso a plataformas como Okta, Microsoft 365, Meta Workplace, Sharepoint y sistemas de correo electrónico.
Desde agosto 2025, se han unido con otros dos grupos cibercriminales (Scattered Spider y Lapsus$) para crear uno solo: Scattered Lapsus$ Hunters. Aunque ninguno de ellos son grupos de ransomware, juntos han promocionado su propio Ransomware-as-a-Service (RaaS), un modelo que permite a otros atacantes utilizar su malware sin necesidad de tener conocimientos técnicos avanzados. Este nuevo ransomware, conocido actualmente como Sh1nySp1d3r, se distingue por evitar las negociaciones con las víctimas e ir directo a extorsionarlas en público.
Taxonomía
|
Tactic |
ID |
Technique (ID) |
|
Reconnaissance |
T1589.001 |
Gather Victim Identity Information: Credentials |
|
T1589.002 |
Gather Victim Identity Information: Email Addresses |
|
|
Initial Access |
T1566.004 |
Phishing: Spear Phishing Voice |
|
T1078.004 |
Valid Accounts: Cloud Accounts |
|
|
T1199 |
Trusted Relationship |
|
|
Execution |
T1059.006 |
Command and Scripting Interpreter: Python |
|
Persistence |
T1098.001 |
Account Manipulation: Additional Cloud Credentials |
|
Credential Access |
T1528 |
Steal Application Access Token |
|
T1621 |
Multi-Factor Authentication Request Generation |
Indicadores de compromiso
|
IOC |
Tipo |
|
196.251.83.162 |
IPv4 |
|
23.94.126.63 |
IPv4 |
|
163.5.210.210 |
IPv4 |
|
198.244.224.200 |
IPv4 |
|
94.156.167.237 |
IPv4 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Baran, G. (2025, Agosto 14). How ShinyHunters Breached Google, Adidas, Louis Vuitton and More in Ongoing Salesforce Attack Campaign. Cyber Security News. Recuperado el 6 de Noviembre del 2025, en: https://cybersecuritynews.com/shinyhunters-breaches/
- Medburry, J. (2025, Septiembre 3). What are ShinyHunters, the hackers that attacked Google? Should we all be worried? The Conversation. Recuperado el 6 de Noviembre del 2025, en: https://theconversation.com/what-are-shinyhunters-the-hackers-that-attacked-google-should-we-all-be-worried-264271
- Abrams, L. (2025, Julio 30). ShinyHunters behind Salesforce data theft attacks at Qantas, Allianz Life, and LVMH. Bleeping Computer. Recuperado el 6 de Noviembre del 2025, en: https://www.bleepingcomputer.com/news/security/shinyhunters-behind-salesforce-data-theft-attacks-at-qantas-allianz-life-and-lvmh/
- Lakshmanan, R. (2025, Noviembre 4). A Cybercrime Merger Like No Other — Scattered Spider, LAPSUS$, and ShinyHunters Join Forces. The Hackers News. Recuperado el 6 de Noviembre del 2025, en: https://thehackernews.com/2025/11/a-cybercrime-merger-like-no-other.html
