El grupo Scattered Spider pone el foco en entornos VMware vSphere

El grupo de ciberamenazas conocido como Scattered Spider ha vuelto a ser noticia en 2025 tras intensificar sus campañas dirigidas a entornos corporativos que utilizan VMware vSphere, una tecnología ampliamente adoptada para la virtualización de servidores.

Este colectivo, también identificado como UNC3944 o Muddled Libra por distintas firmas de ciberseguridad, ha mostrado una evolución notable en sus tácticas. Su actividad más reciente apunta específicamente a comprometer hipervisores VMware ESXi, una pieza crítica en muchas infraestructuras empresariales, con el objetivo de lanzar ataques de ransomware a través de máquinas virtuales alojadas en estos sistemas.

A diferencia de campañas anteriores, Scattered Spider evita cifrar sistemas físicos y se centra en el entorno virtual, lo que les permite maximizar el impacto operativo de sus acciones maliciosas. Para lograr el acceso inicial, utilizan una combinación de ingeniería social avanzada, phishing dirigido y, en muchos casos, suplantación de empleados para obtener credenciales legítimas. Una vez dentro, aprovechan herramientas de administración remota y scripts personalizados para moverse lateralmente por la red y comprometer los sistemas virtualizados.

Según los análisis recientes, esta campaña representa una amenaza significativa para organizaciones que dependen de entornos virtuales, ya que comprometer los hipervisores puede afectar múltiples sistemas y servicios de forma simultánea. Además, el uso de credenciales legítimas y herramientas estándar dificulta la detección por parte de los sistemas tradicionales de defensa.