El cibercrimen está adoptando formas cada vez más sofisticadas, y su estructura empieza a parecerse a la de una empresa. Según el equipo de investigación de Trustwave SpiderLabs, ha surgido una nueva federación criminal, conocida como Scattered LAPSUS$ Hunters (SLH), que une a tres de los grupos más reconocidos de los últimos años: Scattered Spider, ShinyHunters y LAPSUS$.
Tres grupos, una marca: el nuevo modelo federado del cibercrimen
El informe, publicado por el laboratorio de inteligencia de amenazas de Trustwave, describe con detalle cómo esta alianza representa un paso adelante en la profesionalización del cibercrimen. SLH no sólo combina recursos técnicos y experiencia en intrusión, sino también marca y reputación, elementos tradicionalmente propios del mundo empresarial. Su modelo operativo se basa en el “Extortion-as-a-Service” (EaaS), ofreciendo infraestructura y visibilidad a otros actores que deseen participar en campañas de extorsión bajo un sello común.
La federación apareció en agosto de 2025, justo después de la caída de BreachForums, el principal foro de compraventa de datos filtrados. En ese vacío de poder, los Scattered LAPSUS$ Hunters ocuparon rápidamente el espacio, reutilizando la identidad y notoriedad de sus marcas fundadoras para reconstruir confianza dentro del ecosistema criminal. Su actividad se desarrolla principalmente en Telegram, convertido en su centro de operaciones y en un escaparate público desde el que lanzan filtraciones, encuestas y campañas de acoso coordinadas.
Lo novedoso no es tanto el uso de Telegram —habitual entre grupos de este tipo— como la manera en que lo hacen: SLH utiliza la plataforma como herramienta de marketing, difundiendo mensajes cargados de teatralidad, ataques verbales a agencias como el FBI o la NCA, y anuncios de colaboración para reclutar afiliados. Su comunicación combina elementos de espectáculo, provocación y amenaza, un estilo más propio de los hacktivistas, pero con un objetivo estrictamente económico.
Tras la puesta en escena, los investigadores de Trustwave identifican un núcleo pequeño y experimentado, posiblemente menos de cinco personas, con origen en ShinyHunters. Entre ellos destaca “Yukari” o “Cvsp”, vinculado al desarrollo y venta de exploits de alto nivel —como el BlackLotus UEFI bootkit o el Medusa rootkit—, así como a vulnerabilidades dirigidas a CRM, entornos SaaS y bases de datos corporativas.
El informe subraya que esta alianza no es una simple fusión de grupos, sino un modelo de cooperación oportunista que busca aprovechar el capital reputacional de cada colectivo. En la práctica, representa una evolución del fenómeno conocido como The Com: una red informal de cibercriminales que comparten recursos, identidades y marcas para multiplicar su alcance y resistir la disrupción.
Para los CISO y responsables de seguridad, esta consolidación marca un punto de inflexión. El cibercrimen está aprendiendo las reglas del branding corporativo: construye marcas reconocibles, cultiva audiencias y gestiona la narrativa para aumentar su influencia. La amenaza ya no se limita al plano técnico; también se libra en el terreno de la percepción y la comunicación.
Scattered LAPSUS$ Hunters simboliza esa evolución: un cibercrimen que ya no busca solo vulnerar sistemas, sino controlar el relato.
