Trustwave SpiderLabs的网络威胁情报团队正在追踪名为Scattered LAPSUS$ Hunters（SLH）的网络犯罪品牌的出现和通信动态，整合在公共平台上观察到的活动，以提供其结构、演变和操作行为的最新洞察。

图1. Scattered LAPSUS$ Hunters数据泄露网站（DLS）的主页，宣布Salesforce为其受害者之一。

公开面向的材料和频道名称表明，这个新伞形品牌挪用了与Scattered Spider、ShinyHunters和LAPSUS$相关的声誉资产。我们的分析显示，各种行为者协作使用这些传统品牌名称，或冒充它们，以呈现单一、联邦化的公共阵线。然而，在发布时，我们不认为这代表一个由这些前三个实体独家组成的正式、集中化组织。

联合威胁组织的启动

SLH于2025年8月初在Telegram上出现，自称是一个混合实体，融合了近年来三个最知名的The Com关联集体的命名、声誉和操作特征：Scattered Spider、ShinyHunters和LAPSUS$（虽然The Com不完全是网络相关社区，但在我们的语境中，The Com被理解为一个非正式的网络犯罪环境，以多个操作者之间的流动协作和品牌共享为特征）。

图2. SLH成员unc3944声称Scattered Spider、ShinyHunters和LAPSUS$是SLH的"分支"，同时断言SLH本身"由ShinyHunters母公司拥有"。所有这些说法均未经证实。

随着时间的推移，SLH的关联范围扩大，显示出与其他The Com相邻集群（如CryptoChameleon）的关联（具有不同程度的持久性），表明有意将已建立的声誉合并到一个新的、统一的叙事中。Crimson Collective与Scattered LAPSUS$ Hunters之间的合作（2025年10月，Red Hat事件）遵循相同的模式——独立集群在统一的勒索伞下暂时结盟。这证实了我们将SLH解释为情境联盟，而非正式合并。

回溯来看，第一个与该组织相关的已验证频道于2025年8月8日出现，使用句柄"scattered lapsu$ hunters – The Com HQ SCATTERED SP1D3R HUNTERS"。从一开始，Telegram就作为该组织的主要操作环境及其品牌身份的核心。虽然SLH间歇性地托管明网和基于onion的数据泄露站点以展示有限的泄露证据材料，但Telegram仍然是其叙事构建的中心——成员在此表演、协调和策划公共可见性的舞台。随着其活动的成熟，管理帖子开始包含引用"SLH/SLSH运营中心"的签名——这是一个自我应用的标签，投射出官僚合法性和有组织指挥结构的形象。

尽管一些公开报告注意到Scattered Spider、ShinyHunters和LAPSUS$之间的重叠，但我们不认为Scattered LAPSUS$ Hunters是这三个集群在个体操作者层面的联邦或合并，我们当前的分析仅专注于品牌本身及其成员如何通过公共信息传递来定位该品牌。

情境出现、操作持久性和平台周期

自首次亮相以来，SLH的Telegram频道已在原始名称的各种迭代下被移除和重建至少16次——这一循环反映了平台审核以及操作者决心在中断情况下维持这种特定类型的公共存在。

图3. Telegram对话摘录，显示频道被移除后成员的反应和管理响应，引用后来被执法部门查封的breachforums[.]hn。

最新版本之一"scattered LAPSUS$ hunters 7.0"也被移除，后续信息表明该组织希望在未定义时期内保持公开活动的休眠状态——通过适应性命名和协调重建发出韧性信号。

表1. 观察到的Telegram频道和活动周期。

随着这些周期的展开，SLH的出现恰逢更广泛的网络犯罪地下世界的动荡。长期被视为RaidForums的继承者和数据泄露及招募关键枢纽的BreachForums的崩溃造成了真空。Scattered LAPSUS$ Hunters进入这一真空，重新包装来自已解散集体的声誉资产，并继承了其受众的碎片。

通过采用可识别的品牌和回收声誉资本，该组织在The Com网络中重新确立了合法性。不久之后，SLH公开宣布了勒索即服务（EaaS）模型，正式化其操作野心，并表明与更广泛的网络勒索经济保持一致。

图4. 频道公告广告勒索即服务产品并征求客户。

这一步不仅显示了机会主义，还显示了意图：SLH将自己定位为表演者和服务提供商，利用场面吸引客户、关注和招募人员。

叙事模式和信息传递主题

如果其结构呼应了旧集体，其信息传递则对其进行了改进。SLH频道始终将煽动性言论与戏剧性的数据盗窃声明相结合，将娱乐与恐吓融合。

帖子经常指责中国国家行为者利用据称被SLH瞄准的漏洞，同时嘲笑西方执法部门，特别是FBI和NCA。这种对美国和英国机构的关注显然表明哪些司法管辖区面临最大风险，并突显了SLH成员对这些当局的关注。

在各个迭代中，频道内容还在泄露证据展示、互动投票和胁迫性信息之间交替。泄露数据的片段作为预告片；投票邀请参与骚扰或人肉搜索活动；偶尔的金钱激励模糊了招募和众包勒索之间的界限。

图5. Telegram帖子邀请频道订阅者作为自由职业者参与压力活动和人肉搜索以获取报酬或影响力。

平行的销售帖子提供被盗凭证和漏洞利用，而对高管和机构的威胁则放大了压力和可见性。尽管数据窃取和勒索仍然是其主要收入渠道，但反复提及"Sh1nySp1d3r Ransomware"也表明了对勒索软件操作的渴望——这一说法尚未得到验证。

图6. 频道公告引用"Sh1nySp1d3r"作为拟议的勒索软件产品。

总之，这些模式显示了技术信号传递和社会表演的刻意融合，虽然财务收益似乎是主要动机，但该组织对关注、社会验证和观众反应的依赖表明了社会依赖的额外层面。这将SLH定位在财务动机的网络犯罪和关注驱动的黑客行动主义之间，混合了金钱激励和表演性的、社会条件性的行为。

没有明确证据表明SLH的目标落在传统的黑客行动主义或社会动机领域。虽然他们的行为——严重依赖公众关注、社会验证和表演性信息传递——对于纯粹财务动机的行为者来说是不寻常的，但他们的帖子和活动并未传达任何连贯的政治、生态、宗教或其他社会议程。

该组织的信息传递，除了其对执法部门的对抗外，似乎主要由财务激励驱动，即使其传递风格借用了关注驱动或黑客行动主义的做法。这种社会表演和金钱目标的刻意融合模糊了传统分类，但并未表明真正的黑客行动主义动机。

角色架构和马甲行为

与此同时，在喧嚣的叙事背后隐藏着更受控制的现实。尽管在相关频道中观察到大约三十个活跃句柄，范围从操作者到挑衅者，但语言模式、表情符号使用和发帖节奏表明，不到五个人推动核心操作。

表2. consolidated的管理和关联角色。

其中，“shinycorp”（以别名如@sp1d3rhunters、@sloke48和@shinyc0rp出现）作为主要策划者，发布入侵声明、嘲笑执法努力并协调对移除的响应。虽然辅助身份如"sevyuwu"/ Sevy、“Rey"和"SLSHsupport"放大叙事并维持频道参与，但"Alg0d"作为高可见度的经纪人角色运作，主要专注于数据销售和谈判。

技术上更引人入胜的成员之一是"yuka”（也称为Yukari或Cvsp）。这个角色将自己呈现为漏洞利用和初始访问经纪人（IAB），并且历史上与针对CRM和SaaS生态系统的漏洞利用开发产品相关联。

可用证据表明，Cvsp的技术熟练程度——涵盖漏洞利用开发、恶意软件工程和漏洞经纪——是真实的。先前与BlackLotus UEFI bootkit和Medusa rootkit的关联为这一评估增添了可信度，并进一步得到ShinyHunters的声誉担保和高价值交易中持续使用托管服务的支持。

然而，在SLH品牌的背景下，这个角色似乎不那么直接整合，可能是在合作中运作，而不是在SLH核心之下，作为其更广泛生态系统的一部分。

图7. 归因于"Yukari/Cvsp"的GitHub存储库页面，显示标记为BlackLotus（UEFI bootkit）和Medusa（模块化rootkit）的项目。

虽然许多在线角色在SLH伞下显得活跃，但不可能自信地确定背后运作的独特个体的确切数量。每个持续活跃的角色同时充当放大器和盾牌，使归因复杂化，确保即使账户被移除也能保持连续性，并且尽管存在周期性争议和同行嘲笑，SLH继续将自己框定为The Com的一部分——一个松散联合的社区而非固定层级结构。

图8. 发布在DLS页面上的HTML消息，针对指名个人并进行声誉/同行战争。

总体而言，这种自我定位可能代表了少数成熟The Com相关个体的首次 consolidated 品牌对齐，在保持流动合作和机会主义重叠的同时利用相互的恶名。或者，它可能反映了同一小群操作者的行动——具有与The Com生态系统的历史联系，回收传统品牌以在相关集群的更广泛网络中建立连贯的新身份。

战术、技术和程序（TTPs）

除了身份管理，SLH还展示了与经验丰富的操作者一致的技术多样性。其活动表明持续优先考虑云优先勒索和数据盗窃，专注于高价值聚合点，如SaaS提供商、企业CRM、数据库系统和其他提供即时投资回报的大型数据湖。

值得注意的是，这种技术熟练程度似乎反映了从多个合并集群和操作者汲取的技能和优势的融合，表明SLH利用跨入侵、漏洞利用和社会工程领域的互补专业知识以增强操作影响。

凭证收集，通常通过AI自动化的语音网络钓鱼或鱼叉式网络钓鱼，随后是横向移动以进行权限提升、持久性和快速数据窃取。

图9. 成员在频道中共享的截图，描绘了一个操作者运行自动语音网络钓鱼工具，滥用Google Voice来扩展社会工程尝试。

SLH的信息传递历史还表明组织内部具有非平凡的漏洞利用开发和获取能力，包括专门针对CRM、DBMS和SaaS平台的与零日和N日研究一致的工具。

图10. 在频道内流传的代码片段或漏洞利用概念证明，声称针对CVE-2025-31324（SAP NetWeaver）。

自成立以来，关联帖子始终声称漏洞利用获取，最著名的是CVE-2025-61882（Oracle E-Business Suite）——一个在公开报告中广泛与Cl0p勒索软件操作者关联的漏洞。这种重叠表明潜在的代码泄漏、共享或漏洞利用经纪。然而，SLH获取此漏洞利用的性质仍未经验证，并且没有独立证据确认该组织在公开归因于Cl0p的利用波之前拥有它。

图11. Telegram帖子，其中该组织声称最初拥有Oracle E-Business Suite零日（CVE-2025-61882），其泄漏，并表示对Cl0p首先利用它感到沮丧。

历史引用支持这一焦点的连续性：角色Yukari先前在2021年声称利用了Oracle Access Manager，表明资源和专业知识的可能谱系。

图12. 该组织发布的终端输出，演示了具有访问/etc/shadow权限的本地权限提升漏洞利用（CVE-2023-2163）。

总之，这些行为说明了一个结合社会工程、漏洞利用开发和叙事战争的操作结构——这种混合更符合已建立的地下行为者而非机会主义新来者。

结论

Scattered LAPSUS$ Hunters现象展示了现代网络犯罪品牌日益增加的流动性。SLH并非作为一个有凝聚力的团体存在，而是代表了一种联邦化身份模型：一个共享的叙事容器，多个行为者在其中协作、冒充或相互放大以获取集体可见性和可信度。

这种结构——去中心化、关注驱动和声誉机会主义——标志着The Com生态系统的一个演变。SLH的表演、勒索和自我重塑的融合强调了网络犯罪作为媒体表演的网络化趋势，其中操作者和观众之间的界限模糊。

尽管受到干扰，SLH的持续再现突显了这些联邦化威胁身份的韧性及其通过场面、反讽和共享神话语言适应的能力。随着这种混合生态系统的演变，其身份流动性、社会放大、不断增长的定制漏洞利用开发能力和适应性协作的使用可能会塑造2026年数据勒索活动的下一阶段。