联邦政府将"Scattered Spider"二人组与1.15亿美元勒索赎金联系起来

美国检察官上周对19岁英国公民Thalha Jubair提起刑事黑客指控，指控他是Scattered Spider核心成员，这个多产的网络犯罪团伙被指控从受害者那里勒索了至少1.15亿美元的赎金付款。这些指控提出之际，Jubair和一名据称的同谋出现在伦敦法庭，面临入侵并勒索多家英国大型零售商、伦敦交通系统以及美国医疗保健提供商的指控。

在上周的法庭听证会上，英国检察官对Jubair和18岁的Owen Flowers提出了一系列指控，指控这些青少年参与了2024年8月导致伦敦交通局瘫痪的网络攻击，该机构负责大伦敦地区的公共交通网络。

早期活动（2021-2022年）

Jubair被指控是LAPSUS$网络犯罪团伙的核心成员，该团伙从2021年底开始入侵数十家科技公司，从微软、英伟达、Okta、Rockstar Games、三星、T-Mobile和优步等科技巨头窃取源代码和其他内部数据。

根据现已解散的LAPSUS$前领导人的说法，2022年4月，KrebsOnSecurity发布了从LAPSUS$使用的服务器获取的内部聊天记录，这些聊天记录表明Jubair使用昵称Amtrak和Asyntax与该团伙合作。

关于泄露的LAPSUS$聊天记录的那篇报道还将Amtrak/Asyntax与几个之前的黑客身份联系起来，包括"Everlynn"，该身份于2021年4月开始提供一项网络犯罪服务，出售针对主要社交媒体和电子邮件提供商的欺诈性"紧急数据请求"。

EARTHTOSTAR

新泽西州的检察官上周指控Jubair是一个威胁组织的一部分，该组织被称为Scattered Spider、0ktapus和UNC3944，他使用了EarthtoStar、Brad、Austin和Austistic等昵称。

从2022年开始，EarthtoStar共同运营了一个名为Star Chat的热闹Telegram频道，这是一个多产的SIM卡交换团伙的基地，该团伙不断使用基于语音和短信的网络钓鱼攻击从美国和英国主要无线运营商的员工那里窃取凭证。

该团伙随后利用这种访问权限出售SIM卡交换服务，可以将目标的电话号码重定向到攻击者控制的设备，允许他们拦截受害者的电话和短信（包括一次性代码）。Star Chat的成员针对多家无线运营商进行SIM卡交换攻击，但他们主要专注于对T-Mobile员工进行网络钓鱼。

2023年2月，KrebsOnSecurity仔细审查了Star Chat上七个多月的这些SIM卡交换招揽信息，这些信息几乎每天在公共频道中发布"Tmo up!“和"Tmo down!“通知，表明该团伙声称可以主动访问T-Mobile网络的时段。

数据显示，Star Chat与另外两个同时运作的SIM卡交换团伙在2022年最后七个月内集体入侵T-Mobile超过一百次。然而，Star Chat是这三个团伙中最多产的，至少对其中70起事件负责。

对威胁情报公司Flashpoint索引的EarthtoStar在Star Chat上的消息回顾显示，此人也出售"AT&T电子邮件重置"和AT&T呼叫转移服务，每条线路最高收费1,200美元。

新泽西州检察官还指控Jubair参与了2022年夏季的大规模短信网络钓鱼活动，该活动从数百家公司的员工那里窃取了单点登录凭证。这些短信要求用户点击链接并在模仿其雇主Okta认证页面的网络钓鱼页面登录，称收件人需要审查对其即将到来的工作日程的待处理更改。

这些网络钓鱼网站使用Telegram即时消息机器人实时转发任何提交的凭证，允许攻击者使用被钓鱼的用户名、密码和一次性代码以该员工身份登录真实的雇主网站。

这场持续数周的短信网络钓鱼活动导致130多个组织遭到入侵和数据盗窃，包括LastPass、DoorDash、Mailchimp、Plex和Signal。

DA, COMRADE

EarthtoStar的团伙Star Chat专门通过网络钓鱼进入业务流程外包（BPO）公司，这些公司为一系列跨国公司提供客户支持，包括许多世界上最大的电信提供商。2022年5月，EarthtoStar在Telegram频道"Frauwudchat"上发布：

“你好，我正在寻找合作伙伴以便从大型电信公司/呼叫中心/类似机构中窃取数据，我在这个领域有重要经验，[包括]一个拥有20万多名员工的大型呼叫中心，我已经转储了所有用户凭证并获得了对[域控制器]的访问权限+获得了全局管理员权限。我还在REST API和编程方面有经验。我在VPN、Citrix、思科AnyConnect、社会工程和权限提升方面有丰富经验。如果你有任何Citrix/思科VPN或其他有用的东西，请给我发消息，让我们合作。”

大约在2022年夏季的同一时间，至少有两个与Star Chat相关的账户——“RocketAce"和"Lopiu”——向俄语网络犯罪论坛Exploit的用户介绍了该团伙的服务，包括：

• 针对Verizon和T-Mobile客户的SIM卡交换服务；
• 针对Okta等单点登录提供商客户的动态网络钓鱼页面；
• 恶意软件开发服务；
• 扩展验证（EV）代码签名证书的销售。

2022年11月15日，EarthtoStar在他们的Star Sanctuary Telegram频道上发布，他们正在招聘恶意软件开发者，要求至少三年经验，并且能够开发rootkit、后门和恶意软件加载器。

“可选：由高级APT组织（例如Conti、Ryuk）认可，“广告总结道，引用了俄罗斯两个最贪婪和破坏性的勒索软件附属操作。“属于民族国家/前三字母机构的一部分。”

2023年至今

据称Flowers和Jubair策划和执行勒索攻击的Telegram和Discord聊天频道是一个松散网络的一部分，被称为Com，一个英语网络犯罪社区，主要由居住在美国、英国、加拿大和澳大利亚的个人组成。

在整个2022年底和2023年初，EarthtoStar的别名"Brad”（又名"Brad_banned”）经常宣传Star Chat的恶意软件开发服务，包括旨在隐藏攻击者在受害机器上存在的定制恶意软件：

“我们可以开发内核恶意软件，它将实现长期持久性，绕过防火墙并具有反向shell访问权限。这玩意儿对电脑来说简直就是第四期癌症！！！内核意味着机器上的最高权限级别。这可以范围从简单的shell到Bootkit。绕过所有主要EDR（SentinelOne、CrowdStrike等）。修补EDR的扫描功能，使其无效！一旦植入，极难移除（基本上甚至不可能找到）。在多个APT组织中有多年的开发经验。领先一步。价格从5,000美元起。私信@brad_banned获取报价”

2023年9月，米高梅度假村和凯撒娱乐都遭受了俄罗斯勒索软件附属程序ALPHV和BlackCat的勒索软件攻击。据报道，凯撒在该事件中支付了1500万美元的赎金。

在米高梅公开承认2023年入侵的几小时内，Scattered Spider的成员声称负责，并告诉记者他们通过社会工程第三方IT供应商入侵。在上周的伦敦听证会上，英国检察官告诉法庭，在Jubair处发现了超过5000万美元的不义之财加密货币，包括与拉斯维加斯赌场黑客攻击有关的资金。

Star Chat频道最终于2025年3月9日被Telegram封禁。但美国检察官表示，Jubair和Scattered Spider的其他成员继续他们的黑客、网络钓鱼和勒索活动，直到2025年9月。

起诉与法律挑战

新泽西州的起诉书（PDF）指控Jubair和其他Scattered Spider成员在2022年5月至2025年9月期间，与至少120起涉及47个美国实体的计算机网络入侵有关的计算机欺诈、电信欺诈和洗钱。起诉书指控该团伙的受害者支付了至少1.15亿美元的赎金。

美国当局表示，他们追踪到其中一些支付给Scattered Spider的款项到了一台由Jubair控制的互联网服务器。起诉书指出，在该服务器上发现的一个加密货币钱包被用于购买了几张礼品卡，其中一张在一家食品配送公司用于将食物送到他的公寓。从同一服务器用加密货币购买的另一张礼品卡据称被用于为Jubair名下的在线游戏账户充值。美国检察官表示，当他们扣押该服务器时，还扣押了3600万美元的加密货币。

起诉书还指控Jubair参与了2025年1月针对美国法院系统的黑客事件，该事件针对一名监督相关Scattered Spider调查的美国地方法官。另一项调查似乎是针对20岁佛罗里达男子Noah Michael Urban的起诉，他于2024年11月被洛杉矶检察官指控为五名据称的Scattered Spider成员之一。

Urban于2025年4月对电信欺诈和共谋指控认罪，并于8月被判处10年联邦监禁。

Unit 221B纽约安全公司的首席研究官Allison Nixon是Com网络犯罪活动世界领先专家之一。Nixon表示，从法律上起诉Com中知名网络罪犯的核心问题传统上是，顶级犯罪者往往未满18岁，因此很难根据联邦黑客法规起诉。

在美国，检察官通常等到未成年网络犯罪嫌疑人成年后再起诉他们。但她说，在那一天到来之前，Com行为者往往感到有胆量继续犯下——并且经常吹嘘——严重的网络犯罪罪行。

“在这里，我们有一类特殊的Com犯罪者，实际上享有法律豁免权，“Nixon告诉KrebsOnSecurity。“大多数人在年龄较大时被招募到Com团体，但在那些非常年轻加入的人中，比如12或13岁，他们似乎是最危险的，因为在这个年龄，他们对现实没有基础，并且在退出法律豁免权之前有很长的寿命。”

Nixon表示，英国当局在短暂拘留和搜查未成年Com嫌疑人住宅时面临同样的挑战：即，这些青少年嫌疑人一旦被释放，就会立即回到Com中各自的小团体，并开始再次抢劫和伤害他人。

《泰晤士报》报道，Flowers面临《计算机滥用法》的三项指控：两项是共谋实施与计算机相关的未经授权行为，导致/造成对人类福利/国家安全的严重损害/风险，一项是企图实施相同行为。这些罪行的最高刑期可从14年到终身监禁，取决于犯罪的影响。

据报道，Jubair在英国面临两项指控：一项是共谋实施与计算机相关的未经授权行为，导致/造成对人类福利/国家安全的严重损害/风险，另一项是未能遵守第49条通知披露受保护信息的密钥。

在美国，Jubair被指控犯有计算机欺诈共谋、两项计算机欺诈罪、电信欺诈共谋、两项电信欺诈罪和洗钱共谋。如果被引渡到美国，审判并所有罪名成立，他将面临最高95年监禁的刑罚。