Scattered Lapsus$ Hunters - 三大网络犯罪组织的联盟：LAPSUS$、Scattered Spider和ShinyHunters

2025年8月初，Telegram上出现了一个名为shinysp1d3r的频道，将三个知名的网络犯罪组织联系起来：Lapsus$、Scattered Spider和ShinyHunters。这些组织成员实际上已经确认了彼此间的合作，频道内容呼吁批评当局，包含勒索和敲诈元素，并确认了已实施的攻击事实。该频道很快被屏蔽并从服务中删除，但随后又出现了几个替代频道（也相继被屏蔽）。

TLDR:

• 2025年8月初，网络犯罪组织Lapsus$、Scattered Spider和ShinyHunter在Telegram频道上宣布合作，以shinysp1d3r/Scattered Lapsus$ Hunters的名义共同行动。
• 合作内容包括：技术和知识交流、资源共享、攻击协调、组织成员迁移以创建更小的任务子组。
• 该组织近期实施的一个较受关注的攻击是针对Salesforce的攻击（我们曾在sekurak上报道过）。
• 9月中旬发布声明称，该组织已达成既定目标并停止活动。

在公开来源中可以找到网络犯罪分子发布的示例内容截图，但由于这些频道已不可用，无法确认其真实性。

图1 在Telegram频道上分享的示例消息。

安全公司Obsidian的研究人员早就怀疑这些组织之间存在联系。网络犯罪论坛上出现了关于个别组织为实施共同行动而联合的信息。合作涉及多个方面，包括：战术、技术和知识交流、资源共享、攻击协调。每个组织都有不同的专业领域和动机，它们的联合构成了严重威胁。

Scattered Spider是一个主要以经济利益为目标的组织。自2022年开始活跃，以语音钓鱼（voice-phishing）和SIM卡交换（sim-swapping）攻击闻名。其目标包括电信、零售和保险行业的公司。

**Lapsus$**组织在2021-2022年间因对Nvidia和Okta等公司的高调攻击而闻名。其特点主要是利用社会工程技术、网络钓鱼、语音钓鱼和公开敲诈。

ShinyHunters是一个专门从事数据库盗窃和敲诈以获取赎金的网络犯罪组织。其主要动机是经济利益和制造舆论。2025年，因对Salesforce等云应用的成功攻击而再次受到关注。

上述组织的成员经常组成更小的子组，这增加了归因的难度，使得威胁态势变得更加动态和不可预测。近年来，他们声称对一系列攻击负责，其中最引人注目的包括：

• 对Westjet、Hawaiian Airlines、Qantas的勒索软件攻击；
• 入侵零售和电信行业——Mark & Spencer、Harrods；
• 攻击电信运营商：AT&T和T-Mobile；
• 攻击Snowflake供应链。

2025年9月12日，在一个网络犯罪论坛上，昵称为Dissent的用户发布声明，称LAPSUS$、Scattered Spider、ShinyHunters等组织已达成计划目标并结束其活动。

图2 宣布解散LAPSUS$、Scattered Spider、ShinyHunters组织的声明片段。来源：breachsta.rs

宣布结束联合行动很可能只是暂时的中断，可能是为了重组和调整方法以适应新目标。这种短暂的停顿可能预示着正在计划新的攻击活动、测试现有战术的有效性，并为可能以新名义回归做准备。

无论未来事件如何发展，组织都必须加强基于人为因素的防御，因为大多数攻击都始于社会工程学。此外，持续的情报共享以及在事件响应方面的积极合作，将有助于更快地检测威胁，从而限制潜在安全漏洞的影响。

来源：obsidiansecurity.com, vectra.ai