研究人员揭示主要黑客组织间的关联:LAPSUS$、Scattered Spider与ShinyHunters
一个松散连接的网络犯罪超级组织正在利用社会工程学手段入侵财富100强企业和政府机构。LAPSUS$、Scattered Spider和ShinyHunters——这三个最臭名昭著的英语网络犯罪集团——通过共享战术、成员重叠和联合公共渠道日益模糊了彼此界限。
从2023年到2025年,已有证据表明这些组织在重大数据泄露事件中直接合作,并协调推动联合勒索软件即服务(RaaS)业务。2025年8月,网络安全研究人员发现一个Telegram频道以"shinysp1d3r"品牌联合了Scattered Spider、LAPSUS$和ShinyHunters,用于协调威胁、预告数据泄露和销售RaaS订阅。
ShinyHunters承认Scattered Spider提供初始网络访问权限,而其成员负责批量数据窃取。LAPSUS$操作人员也参与其中——共同针对Salesforce、Snowflake和其他主要平台。
9月12日,FBI就UNC6040和UNC6395组织发布紧急警报,这些组织与上述联盟有关联,正在利用Salesforce环境窃取敏感记录。许多财富100强受害者报告收到由ShinyHunters署名的勒索邮件,证实了这三个组织的协同攻击。
尽管公开宣布"退休",但Resecurity的人力情报团队持续观察到对未公开受害者的私下勒索,表明该组织现在以更隐蔽的方式运作,利用其声誉进行胁迫。
战术、技术与程序
社会工程学与网络钓鱼
所有三个组织都擅长语音钓鱼(vishing)、帮助台冒充和凭证窃取。ShinyHunters最近采用了Scattered Spider的语音钓鱼剧本入侵Salesforce。
MFA绕过与SIM卡交换
LAPSUS$开创了SIM卡交换和MFA轰炸(推送疲劳)技术,现已被Scattered Spider复制,ShinyHunters也在较小程度上采用。
数据窃取、勒索与公开宣传
他们的勒索活动包括公开投票决定下一个泄露哪个受害者的数据——以此最大化媒体关注和心理压力。
目标选择
联合目标涵盖金融、技术、零售和航空行业(例如澳航、安联、阿迪达斯、谷歌)。他们利用VMware ESXi、Salesforce和Snowflake中的云服务配置错误。
安全分析师将此联盟称为"网络犯罪超级组织",指出三个派系之间共享人才和基础设施。不久前,这个黑客三人组再次提到AT&T,并发布了据称显示访问RSA Token/VPN管理仪表板的截图。
恶意行为者在各组织间无缝流动,使归因复杂化,并维持了高度适应性、流动性的威胁格局。
最新动态(2023-2025年)
- 新品牌:2024年秋季宣布的"shinysp1d3r"预示了2025年联合行动的升级
- 航空公司受攻击:2025年中期,Scattered Spider及其合作伙伴的勒索软件攻击影响了西捷航空、夏威夷航空和澳航,ShinyHunters声称通过语音钓鱼入侵澳航获取600万客户记录
- 零售与电信漏洞:2025年4月,Scattered Spider与DragonForce勒索软件联合攻击英国零售商(玛莎百货、哈罗德百货),ShinyHunters对AT&T和T-Mobile的历史性入侵暴露了数亿条记录
- Snowflake供应链攻击:2024年,合作者利用Snowflake漏洞访问了超过1.1亿AT&T客户的通话元数据——后来得到AT&T在2024年3月声明确认
LAPSUS$、Scattered Spider和ShinyHunters的融合标志着网络犯罪的新范式:松散联合的年轻集体利用社会工程学、云配置错误和公共渠道实现最大影响。他们宣布的"退出"很可能是一种战术暂停——使得能够继续进行私下勒索和未来重新品牌塑造。
组织必须加强以人为中心的防御——包括严格的MFA策略、强大的帮助台验证和持续的网络钓鱼意识培训——以应对这些敏捷、社会驱动的对手。持续的威胁情报共享和主动的事件响应协作对于保持领先于这个不断演变的网络犯罪超级组织仍然至关重要。