Grupo Cibercriminal ShinyHunters (Actualización)

El grupo cibercriminal ShinyHunters ha destacado desde sus inicios por emplear metodos de extorsión e ingeniería social altamente efectivas, capaces de comprometer y robar grandes volúmenes de información sensible de importantes empresas para posteriormente extorsionarlas. Sus principales victimas pertenecen a los sectores tecnológico, financiero, minorista y educativo.

Su modelo operativo ha llevado a que ShinyHunters sea catalogado como un grupo de Extorsión como Servicio (EaaS) que ofrece tácticas avanzadas de vishing (phishing por voz) haciéndose pasar por personal legitimo para obtener acceso inicial. Entre sus actividades más comunes se encuentran las siguientes:

• Envío de correos de extorsión con el nombre de ShinyHunters.
• Acoso a las víctimas por medio de llamadas telefónicas y mensajes de texto.
• Amenazas dirigidas a familiares para aumentar la presión psicológica.
• Amenazas con incidentes de emergencias falsas.
• Publicación de datos robados en foros de la dark web.

En mayo del presente año, ShinyHunters fue responsable de una brecha de seguridad dirigida a una plataforma educativa afectando a miles de escuelas en distintos países. Entre la información robada se encuentra: nombres de usuario, correos electrónicos, matriculas de estudiantes e incluso mensajes privados entre usuarios de la plataforma. Se registraron más de 3.6 TB de información robada afectando a aproximadamente 285 millones de usuarios. Aunque no hay evidencia de la exposición de contraseñas o información financiera, la información robada es de gran utilidad para futuras campañas de spearphishing.  

El grupo ShinyHunters también aprovecha vulnerabilidades en los sistemas de sus víctimas. En el caso de la plataforma educativa afectada, existe un programa que permite a docentes crear cuentas sin validación institucional. Dichas cuentas se encuentran sobre la misma infraestructura que las cuentas de instituciones educativas, lo que le permitió al grupo obtener acceso no autorizado a información sensible y potencialmente obtener privilegios de escritura.

Entre otras vulnerabilidades comúnmente explotadas por el grupo se encuentran CVE-2025-61882 y CVE-2026-20045. La vulnerabilidad crítica identificada como CVE-2025-61882 cuenta con una puntuación CVSS de 9.8 y afecta a Oracle E-Business Suite. Mientras que la vulnerabilidad CVE-2026-20045 es considerada de alta severidad en productos Cisco Unified Communications. Ambas vulnerabilidades radican en solicitudes HTTP manipuladas enviadas a sistemas afectados.

Taxonomía

Tactic	ID	Technique (ID)
Reconnaissance	T1589.001	Gather Victim Identity Information: Credentials
	T1589.002	Gather Victim Identity Information: Email Addresses
	T1594	Search Victim-Owned Websites
	T1590	Gather Victim Network Information
	T1598	Phishing for Information
Resource Development	T1586	Compromise Accounts
Initial Access	T1566.004	Phishing: Spear Phishing Voice
	T1078.004	Valid Accounts: Cloud Accounts
	T1199	Trusted Relationship
Execution	T1059.006	Command and Scripting Interpreter: Python
Persistence	T1098.001	Account Manipulation: Additional Cloud Credentials
Credential Access	T1528	Steal Application Access Token
	T1621	Multi-Factor Authentication Request Generation
	T1539	Steal Web Session Cookie
	T1550	Use Alternate Authentication Material
	T1556	Modify Authentication Process
Collection	T1114	Email Collection
	T1530	Data from Cloud Storage
	T1213	Data from Information Repositories
Impact	T1486	Data Encrypted for Impact
	T1485	Data Destruction

Indicadores de compromiso

IOC	Tipo
91[.]215[.]85[.]103	IPv4
24[.]242[.]93[.]122	IPv4
23[.]234[.]100[.]235	IPv4
149[.]50[.]97[.]144	IPv4
68[.]73[.]213[.]196	IPv4
104[.]32[.]172[.]247	IPv4
85[.]238[.]66[.]242	IPv4
199[.]127[.]61[.]200	IPv4
209[.]222[.]98[.]200	IPv4
38[.]190[.]138[.]239	IPv4

 

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto (NIST CSF, 2024).
• Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad (NIST CSF, 2024).
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactorial.

Referencias

1. Google Threat Intelligence. (2026, 30 Enero). Vishing for Access: Tracking the Expansion of ShinyHunters-Branded SaaS Data Theft. Google Cloud. Recuperado el 22 de mayo de 2026, en: https://cloud.google.com/blog/topics/threat-intelligence/expansion-shinyhunters-saas-data-theft
2. Divya. (2026, 19 Mayo). ShinyHunters Takes Responsibility for Attack on Learning Management Platform. GBHackers. Recuperado el 22 de mayo de 2026, en: https://gbhackers.com/shinyhunters-attack-on-learning-management-platform/
3. Lakshmanan, R. (2026, 12 Mayo). Instructure Reaches Ransom Agreement with ShinyHunters to Stop 3.65TB Canvas Leak. The Hacker News. Recuperado el 22 de mayo de 2026, en: https://thehackernews.com/2026/05/instructure-reaches-ransom-agreement.html
4. Cluley, G. (2026, 20 Mayo). FBI warns students and staff that ShinyHunters may come knocking after Canvas breach. Bitdefender. Recuperado el 22 de mayo de 2026, en: https://www.bitdefender.com/en-us/blog/hotforsecurity/fbi-shinyhunters-canvas-breach

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios