与“分散Lapsus$猎手”的管理员Rey会面

一个自称“分散Lapsus$猎手”（Scattered LAPSUS$ Hunters，简称SLSH）的高产网络犯罪团伙，今年因定期窃取数据并公开大规模勒索数十家主要公司而成为头条新闻。但对于该黑客组织的技术操作者和公开代表、化名为“Rey”的人来说，情况似乎发生了些许转变：本周早些，Rey确认了他的真实身份，并在KrebsOnSecurity找到并联系其父亲后同意接受采访。

SLSH被认为是三个黑客团体——Scattered Spider、LAPSUS$和ShinyHunters——的混合体。这些团伙的成员多来自“The Com”的相同聊天频道，“The Com”是一个主要在Telegram和Discord服务器上运作的、以英语为主的网络犯罪社区。

2025年5月，SLSH成员发起了一场社会工程活动，利用语音钓鱼诱骗目标将恶意应用程序连接到其组织的Salesforce门户。该组织后来建立了一个数据泄露门户，威胁要公布据称Salesforce数据被窃取的三十多家公司的内部数据，包括丰田、联邦快递、迪士尼/Hulu和UPS。

与ShinyHunters相关的新勒索网站威胁要公布被盗数据，除非Salesforce或个别受害公司同意支付赎金。

上周，SLSH的Telegram频道发布了一则招募和奖励“内线”（即同意分享其雇主网络内部访问权限以分得受害公司最终支付的赎金份额的大公司员工）的提议。

SLSH此前曾征求过内线访问权限，但他们最新针对心怀不满员工的呼吁在社交媒体上流传的同时，有消息称网络安全公司Crowdstrike解雇了一名员工，据称该员工向黑客组织分享了内部系统的截图（Crowdstrike称其系统从未被入侵，并已将此事移交执法机构）。

“分散Lapsus$猎手”的Telegram服务器一直在试图招募大公司的内线。

SLSH成员传统上在攻击中使用其他勒索软件团伙的加密器，包括来自ALPHV/BlackCat、Qilin、RansomHub和DragonForce等勒索软件联盟计划的恶意软件。但上周，SLSH在其Telegram频道上宣布发布他们自己的勒索软件即服务（RaaS）业务，名为ShinySp1d3r。

负责发布ShinySp1d3r勒索软件产品的是SLSH的一名核心成员，其代号为“Rey”，目前是SLSH Telegram频道的三名管理员之一。此前，Rey是勒索软件团伙Hellcat数据泄露网站的管理员，该团伙于2024年底出现，参与了针对包括施耐德电气、Telefonica和Orange Romania在内的公司的攻击。

“分散Lapsus$猎手”Telegram频道描述的近期、略有编辑的截图，显示Rey是三名管理员之一。

同样在2024年，Rey接管了最新版本的BreachForums的管理员职位。BreachForums是一个英语网络犯罪论坛，其域名曾多次被FBI和/或国际当局查封。2025年4月，Rey在Twitter/X上发布了关于FBI再次查封BreachForums的消息。

2025年10月5日，FBI宣布再次查封了与BreachForums相关的域名，并将其描述为ShinyHunters等人用来交易被盗数据和协助勒索的主要犯罪市场。

FBI表示：“此次打击行动切断了这些行为者用来将其入侵行为货币化、招募合作者以及针对多个行业受害者的关键枢纽的访问权限。”

令人难以置信的是，Rey去年犯下了一系列关键的操作安全错误，提供了多种途径来确定和确认他的真实身份和位置。请继续阅读，了解Rey的一切是如何败露的。

REY是谁？

根据网络情报公司Intel 471的数据，Rey在过去两年中是各种BreachForums重生版本的活跃用户，在2024年2月至2025年7月期间发表了200多篇帖子。Intel 471表示，Rey此前在BreachForums上使用的代号是“Hikki-Chan”，其第一篇帖子分享的数据据称来自美国疾病控制与预防中心（CDC）。

在那篇2024年2月关于CDC的帖子中，Hikki-Chan表示可以通过Telegram用户名@wristmug联系到他。2024年5月，@wristmug在一个名为“Pantifan”的Telegram群聊中发布了一封他们声称收到的勒索邮件的副本，其中包含了他们的电子邮件地址和密码。

@wristmug复制粘贴的这条消息似乎是自动发送的诈骗邮件的一部分，该邮件声称是由一名黑客发送的，该黑客入侵了你的电脑，并在你看色情内容时使用你的网络摄像头录制了视频。这些信件威胁要向你的所有联系人发布视频，除非你支付比特币赎金，并且它们通常会引用收件人以前使用过的真实密码。

“不不不不不，”@wristmug账户在发布诈骗消息的截图后故作惊恐地写道。“伙计们，我肯定完了。”

由Rey/@wristmug发布到Telegram的一条消息。

在发布截图时，@wristmug对诈骗消息正文中引用的电子邮件地址的用户名部分进行了编辑。然而，他没有编辑他以前使用的密码，并且让电子邮件地址的域名部分（@proton.me）在截图中保持可见。

O5TDEV

在泄露跟踪服务Spycloud中搜索@wristmug相当独特的15个字符的密码，发现已知只有一个电子邮件地址使用过它：cybero5tdev@proton.me。根据Spycloud的数据，这些凭证至少在2024年初被泄露了两次，当时该用户的设备感染了一种信息窃取木马，窃取了其存储的所有用户名、密码和身份验证cookie。

Intel 471显示，电子邮件地址cybero5tdev@proton.me属于一位代号为o5tdev的BreachForums成员。在Google上搜索这个昵称，至少会找到两个网站篡改档案，显示一位名为o5tdev的用户曾参与用支持巴勒斯坦的信息篡改网站。例如，下面的截图显示，05tdev是一个名为Cyb3r Drag0nz Team的团队成员。

Rey/o5tdev的网站篡改页面。图片来源：archive.org。

SentinelOne在2023年的一份报告中将Cyb3r Drag0nz Team描述为一个黑客行动主义团体，有发起DDoS攻击和网络篡改以及参与数据泄露活动的历史。

SentinelOne报告称：“Cyb3r Drag0nz Team声称泄露了超过一百万以色列公民的数据，分布在多次泄露中。迄今为止，该组织已发布多个据称包含以色列各地公民个人信息的.RAR存档。”

网络情报公司Flashpoint发现，Telegram用户@05tdev在2023年和2024年初很活跃，在“Ghost of Palestine”等反以色列频道上用阿拉伯语发帖（完整披露：Flashpoint目前是本博客的广告商）。

“我是GINTY”

Flashpoint显示，Rey的Telegram帐户（ID7047194296）在一个专注于网络犯罪的名为Jacuzzi的频道中特别活跃，该用户在该频道分享了几项个人详细信息，包括他的父亲是一名航空公司飞行员。Rey在2024年声称自己15岁，并且与爱尔兰有家庭联系。

具体来说，Rey在几次Telegram聊天中提到他有爱尔兰血统，甚至发布了一张显示姓氏“Ginty”流行程度的信息图。

Rey在Telegram上声称与姓氏“Ginty”有关联。图片来源：Flashpoint。

Spycloud索引了从cybero5dev@proton.me窃取的数百条凭证，这些详细信息表明Rey的计算机是一台位于约旦安曼的共享微软Windows设备。2024年初从Rey那里窃取的凭证数据显示，受感染的PC有多个用户，但他们都共享相同的姓氏Khader以及约旦安曼的一个地址。

从Rey的家庭电脑中提取的“自动填充”数据包含一个46岁的Zaid Khader的条目，显示其母亲的娘家姓是Ginty。信息窃取数据还显示，Zaid Khader经常访问皇家约旦航空公司的员工内部网站。

认识SAIF

信息窃取数据清楚地表明，Rey的全名是Saif Al-Din Khader。由于未能直接联系到Saif，KrebsOnSecurity向他的父亲Zaid发送了一封电子邮件。该邮件邀请这位父亲通过电子邮件、电话或Signal回复，并解释说他的儿子似乎深深卷入了一起严重的网络犯罪阴谋。

不到两个小时后，我收到了Saif发来的Signal消息，他说他的父亲怀疑这封邮件是诈骗邮件，已经转发给了他。

“我看到了你的邮件，但不幸的是，我认为我爸爸不会回复这个，因为他们认为这是某种‘诈骗邮件’，所以我决定直接跟你谈谈，”Saif说，他告诉我下个月他就满16岁了。

Saif解释说，他已经收到了欧洲执法官员的消息，并一直试图摆脱SLSH。当被问及为什么他还会参与发布SLSH新的ShinySp1d3r勒索软件即服务产品时，Saif说他不能就这样突然退出该组织。

“嗯，我不能就这样突然离开，我正在努力清理与我有关的一切，然后继续前进，”他说。

前Hellcat勒索软件网站。图片来源：Kelacyber.com

他还透露，ShinySp1d3r只是Hellcat勒索软件的翻版，只是用AI工具进行了修改。“我基本上把Hellcat勒索软件的源代码给出去了。”

Saif声称他最近自行联系了“Operation Endgame”的Telegram账户，这是一个针对网络犯罪服务、供应商及其客户的持续执法行动的代号。

“我已经在与执法部门合作了，”Saif说。“事实上，我至少从六月份起就一直在和他们谈话。我几乎告诉了他们一切。自九月份以来，我真的没有做过任何像入侵公司或勒索相关的事情。”

Saif表示，现在一篇关于他的报道可能会危及他未来可能提供的任何进一步合作。他还说，他不确定美国或欧洲当局是否就他参与黑客组织一事与约旦政府联系过。

“一篇报道会带来太多不必要的关注，如果我打算合作，会使事情变得非常困难，”Saif Khader说。“我不确定会发生什么，他们说他们正在就我的请求与多个国家联系，但已经整整一个星期了，我没有收到他们的任何最新消息。”

Saif分享了一张截图，显示他上个月底联系了欧洲刑警组织当局。但他无法说出任何他声称正在回应他询问的执法官员的姓名，KrebsOnSecurity也无法核实他的说法。

“我真的不在乎，我只想摆脱所有这些事情，即使是坐牢时间或他们将要说的任何话，”Saif说。