网络犯罪集团 ShinyHunters 和 Scattered Spider 联手对企业进行勒索攻击
最新调查结果显示,针对 Salesforce 客户的持续数据勒索活动可能很快将注意力转向金融服务和技术服务提供商,因为 ShinyHunters 和 Scattered Spider 似乎正在联手合作。
ReliaQuest 在与 The Hacker News 分享的一份报告中表示 :“最新一波 ShinyHunters 攻击表明该组织在策略上发生了巨大转变,超越了该组织之前的凭证盗窃和数据库利用。”
这些措施包括采用与 Scattered Spider 类似的策略,例如高度针对性的语音钓鱼 (又称语音网络钓鱼 )和社会工程攻击,利用伪装成合法工具的应用程序,使用 Okta 主题的网络钓鱼页面诱骗受害者在语音钓鱼期间输入凭据,以及使用 VPN 混淆进行数据泄露。
ShinyHunters 于 2020 年首次出现,是一个以经济利益为目的的威胁组织,策划了一系列针对大型企业的数据泄露事件 ,并在 RaidForums 和 BreachForums 等网络犯罪论坛上利用这些事件牟利。值得注意的是,ShinyHunters 一直是这些平台的关键参与者 ,既是贡献者,也是管理员。
Sophos 在最近的一份报告中指出 :“ShinyHunters 角色与 Baphomet 合作,于 2023 年 6 月重新启动了 BreachForums 的第二个实例 (v2),随后又单独启动了 2025 年 6 月的实例 (v4)。临时版本 (v3) 于 2025 年 4 月突然消失,原因尚不清楚。”
虽然该论坛的重新启动是短暂的,公告板在 6 月 9 日左右下线,但此后威胁行为者一直与针对全球 Salesforce 实例的攻击有关 ,这是一组与勒索有关的活动,谷歌正在以 UNC6240 为代号进行跟踪。
与此同时,法国执法部门逮捕了四名涉嫌运营 BreachForums(包括 ShinyHunters)的个人。然而,该威胁行为者告诉 DataBreaches.Net,“法国仓促地进行了虚假且不准确的逮捕”,这增加了“关联”成员可能已被抓获的可能性。
不仅如此,8 月 8 日,一个名为“Scattered lapsu$ hunters”(分散的 lapsu$猎人)的 Telegram 新频道出现,该频道将 ShinyHunters、 Scattered Spider 和 LAPSUS$ 混为一谈 。频道成员还声称正在开发一种名为 ShinySp1d3r 的勒索软件即服务解决方案,并称其将与 LockBit 和 DragonForce 竞争。三天后,该频道被 Telegram 封禁并删除。
Scattered Spider 和 LAPSUS$ 都与一个更广泛、更模糊的组织 The Com 有联系,这是一个臭名昭著的经验丰富的英语网络犯罪分子网络,他们以从事各种恶意活动而闻名,包括 SIM 卡交换、勒索和人身犯罪。
FalconFeeds 表示 :“Scattered LAPSUS$ Hunters 代表着网络勒索的新阶段,其目标不仅是金钱,还有影响力和混乱。他们与 Scattered Spider 和 ShinyHunters 等知名实体的联系表明,与其说这是一个“新”组织,不如说是现有威胁行为者为了应对近期执法部门的追捕而进行的品牌重塑和合并。”
ReliaQuest 表示,它已经确定了一组以票务为主题的钓鱼域名和 Salesforce 凭证收集页面,这些页面可能是为针对 Salesforce 的类似活动而创建的,这些活动针对的是各个行业垂直领域的知名公司。
该公司表示,这些域名是使用通常与网络钓鱼工具包相关的基础设施注册的,这些工具包通常用于托管单点登录 (SSO) 登录页面——这是 Scattered Spider 冒充 Okta 登录页面的攻击的标志。
此外,对 2025 年注册的 700 多个与分散蜘蛛网络钓鱼模式相匹配的域名进行分析显示,自 2025 年 7 月以来,针对金融公司的域名注册量增加了 12%,而针对科技公司的域名注册量减少了 5%,这表明银行、保险公司和金融服务公司可能是下一个目标。
撇开战术上的重叠不谈,这两个团体可能正在进行合作,因为他们在同一时间瞄准了相同的行业(即零售、保险和航空)。
研究人员 Kimberley Bromley 和 Ivan Righi 表示:“支持这一理论的证据包括,BreachForums 上出现了一个别名为‘Sp1d3rHunters’的用户,他与过去的 ShinyHunters 漏洞有关,而且域名注册模式也存在重叠。”他们还补充说,该账户创建于 2024 年 5 月。
如果这些联系属实,则表明 ShinyHunters 和 Scattered Spider 之间的合作或重叠可能已持续一年多。此前两次攻击的时间同步且目标相似,有力地证明了这两个组织之间可能存在协同行动。
更新
威胁行为者组织 ShinyHunters 宣布, BreachForums 已被国际执法机构控制,该网站已变成蜜罐。
ShinyHunters 声称 :“该平台目前由包括 BL2C 在内的法国执法机构与美国司法部 (DoJ) 和联邦调查局 (FBI) 协调运营”,并补充说“Hollow”和“ShinyHunters”账户已被盗,而“N/A”账户已被联邦特工接管。
执法部门从未查明真相,但我在此确认 ShinyHunters 的替代账户确实是 Anastasia 和 Hollow。Anastasia 和 Hollow 的管理员账户始终由一个人控制,那就是我,ShinyHunters。
ShinyHunters 的所谓负责人 Shiny 也发出了警告:“如果 BreachForums 在收到本通知后仍然在线,那么它就相当于一个受多个国际执法机构控制的蜜罐。BreachForums 不会再以合法的方式运营。该网站的任何重新出现都应被视为执法陷阱。”
