Scattered Lapsus$ Hunters – sojusz trzech grup cyberprzestępczych: LAPSUS$, Scattered Spider i ShinyHunters

Na początku sierpnia bieżącego roku w serwisie Telegram pojawił się kanał o nazwie shinysp1d3r, łączący trzy znane grupy cyberprzestępcze: Lapsus$, Scattered Spider oraz ShinyHunters. Współpraca między grupami została de facto potwierdzona przez samych członków organizacji, a treści publikowane na kanale nawoływały do krytyki władzy, stanowiły element wymuszeń i szantażu oraz potwierdzały fakt przeprowadzenia ataków. Kanał został szybko zablokowany i usunięty z serwisu, jednak na jego miejsce powstało kilka kolejnych (również sukcesywnie blokowanych). 

TLDR:

• Na początku sierpnia 2025 r. grupy cyberprzestępcze Lapsus$, Scattered Spider i ShinyHunter na na kanale Telegram ogłosiły współpracę, działając pod wspólnym szyldem jako shinysp1d3r/Scattered Lapsus$ Hunters.
• Współpraca obejmowała m.in.: wymianę technologii i wiedzy, udostępnianie posiadanych zasobów, koordynowanie ataków, migrację członków grup w celu tworzenia mniejszych podgrup zadaniowych.
• Jednym z głośniejszych ataków przeprowadzonych w ostatnim czasie przez grupę, o których pisaliśmy na łamach sekuraka był atak na Salesforce.
• W połowie września zostało wydane oświadczenie, w którym stwierdzono, że grupa osiągnęła założone cele oraz zakończyła działalność.

W otwartych źródłach można znaleźć zrzuty ekranu z przykładowymi treściami publikowanymi przez cyberprzestępców, lecz z uwagi na fakt, że kanały te nie są już dostępne, nie da się potwierdzić ich autentyczności. 

Badacze bezpieczeństwa z Obsidian od dawna podejrzewali powiązania między tymi grupami. Na forach dla cyberprzestępców pojawiały się informacje o rzekomym łączeniu pojedynczych grup w celu realizacji wspólnych działań. Współpraca obejmowała wiele aspektów m.in.: wymianę taktyk, technik i wiedzy, udostępnianie posiadanych zasobów, koordynowanie ataków.  Każda z tych grup różni się specjalizacją oraz motywacjami, a ich połączenie stanowi poważne zagrożenie.

Scatterred Spider jest grupą, której głównym celem jest zysk finansowy. Jest aktywna od 2022 roku i znana przede wszystkim z ataków typu voice-phishing oraz sim-swapping. Jej celem były m.in. firmy z sektora telekomunikacyjnego, handlu detalicznego i ubezpieczeń.

Grupa Lapsus$ stała się sławna w latach 2021-2022, głównie z powodu głośnych ataków na firmy takie jak Nvidia czy Okta. Charakteryzowała się przede wszystkim wykorzystaniem technik inżynierii społecznej, phishingiem, vishingiem oraz publicznym szantażem.

ShinyHunters to grupa cyberprzestępcza, wyspecjalizowana w kradzieży baz danych oraz szantażu, w celu uzyskania okupu. Jej główną motywacją jest zysk finansowy oraz budowanie rozgłosu. W 2025 r. zrobiło się o niej ponownie głośno na skutek ataku na aplikacje chmurowe takie jak Salesforce. 

Członkowie powyższych grup często organizują się w mniejsze podgrupy, co utrudnia atrybucję i sprawia że krajobraz zagrożeń staje się coraz bardziej dynamiczny i nieprzewidywalny. W ostatnich latach wzięli odpowiedzialność za szereg ataków, z których najgłośniejszymi są:

• ataki ransomware na Westjet, Hawaiian Airlines, Qantas,
• włamania do sektora handlu i telekomunikacji – Mark & Spencer, Harrods,
• atak na operatorów telekomunikacyjnych: AT&T i T-Mobile,
• atak na łańcuch dostaw Snowflake.

12 września 2025 r. na jednym z forum dla cyberprzestępców użytkownik o pseudonimie Dissent wydał oświadczenie, z którego wynika iż grupy (LAPSUS$, Scattered Spider, ShinyHunters) osiągnęła zaplanowane cele i kończy swoją działalność. 

Zapowiedź zakończenia wspólnych działań najprawdopodobniej stanowi tylko czasową przerwę, być może w celu przegrupowania oraz adaptacji metod do nowych celów. Taka chwilowa pauza może świadczyć o planowaniu kolejnych kampanii, testowaniu skuteczności dotychczasowych taktyk oraz przygotowaniu do ewentualnego powrotu pod nowym szyldem.  

Niezależnie od rozwoju przyszłych wydarzeń organizacje muszą wzmocnić obronę opartą o czynnik ludzki, ponieważ większość ataków rozpoczynała się od inżynierii społecznej. Ponadto, stała wymiana informacji o zagrożeniach oraz proaktywna współpraca w zakresie reagowania na incydenty pozwoli na szybsze wykrywanie zagrożeń, a co za tym idzie ograniczy skutki ewentualnych naruszeń bezpieczeństwa.

Źródło: obsidiansecurity.com, vectra.ai 

~_secmike