São Paulo, 2025 – Uma nova aliança de cibercriminosos que reúne Scattered Spider, LAPSUS$ e ShinyHunters vem se organizando sob o nome Scattered LAPSUS$ Hunters (SLH) desde o início de agosto de 2025. Segundo relatório da Trustwave SpiderLabs, o grupo já criou e recriou 16 canais no Telegram entre 8 de agosto e o momento atual, numa tentativa de manter presença pública apesar das remoções impostas pela plataforma.
Extortion-as-a-Service
O SLH opera um modelo de extortion-as-a-service (EaaS). Afiliados podem exigir pagamentos de vítimas explorando a notoriedade da marca recém-formada. Os ataques recentes miram inclusive organizações que utilizam Salesforce.
Integração a “The Com”
Analistas da Trustwave apontam que Scattered Spider, LAPSUS$ e ShinyHunters integram uma estrutura maior e flexível conhecida como The Com, caracterizada por colaboração fluida e compartilhamento de marcas. O coletivo também demonstra ligações com os clusters CryptoChameleon e Crimson Collective.
Organização interna
No Telegram, administradores passaram a assinar mensagens como “SLH/SLSH Operations Centre”, indicando tentativa de criar imagem de comando centralizado. Entre os subgrupos identificados estão:
- Shinycorp (também chamado sp1d3rhunters) – coordenação e gestão de reputação;
- UNC5537 – ligado à campanha de extorsão envolvendo Snowflake;
- UNC3944 – associado ao Scattered Spider;
- UNC6040 – relacionado a campanha de vishing contra usuários de Salesforce.
Perfis como Rey e SLSHsupport mantêm o engajamento do público, enquanto yuka (ou Yukari/Cvsp) atua como initial access broker, desenvolvendo explorações.
Táticas de pressão
Além de vazar dados, o SLH incentiva seguidores a localizar e bombardear executivos de alto escalão por e-mail. Quem participar recebe no mínimo US$ 100. O grupo também usa seus canais para acusar agentes estatais chineses de explorar vulnerabilidades atribuídas ao coletivo e para atacar publicamente autoridades dos EUA e do Reino Unido.
Ransomware próprio no horizonte
Mensagens internas indicam o desenvolvimento de um ransomware batizado Sh1nySp1d3r, projetado para concorrer com famílias como LockBit e DragonForce.
Imagem: Internet
DragonForce reforça parceria
Em movimento paralelo, a Acronis relatou que o grupo DragonForce lançou um novo malware que emprega drivers vulneráveis (truesight.sys e rentdrv2.sys) em ataques BYOVD para desativar softwares de segurança. A operação faz parte de um cartel que inclui Qilin e LockBit. Segundo a empresa, Scattered Spider atua como afiliado do DragonForce, realizando invasões via spear-phishing e vishing antes de instalar ferramentas de acesso remoto como ScreenConnect, AnyDesk, TeamViewer e Splashtop, preparando o terreno para o ransomware.
Para essa campanha, o DragonForce adaptou o código-fonte vazado do Conti, acrescentando apenas uma configuração criptografada e mantendo todas as funcionalidades originais.
Combinando engenharia social, desenvolvimento de exploits e forte estratégia de imagem, o Scattered LAPSUS$ Hunters evidencia uma estrutura que mistura motivação financeira e busca por visibilidade, típica de atores experientes no submundo cibernético.
Com informações de The Hacker News