英国逮捕四名“散乱蜘蛛”勒索软件组织成员

英国当局本周逮捕了四名年龄在17至20岁之间的人员，他们涉嫌近期针对零售商玛莎百货（Marks & Spencer）、哈罗德（Harrods）以及英国食品零售商Co-op Group的数据盗窃和勒索攻击。这些入侵事件与一个多产但松散联系的网络犯罪组织“散乱蜘蛛”（Scattered Spider）有关，该组织近期的受害者还包括多家航空公司。

英国国家犯罪局（NCA）拒绝确认被捕人员的姓名，仅表示其中包括两名19岁男性、一名17岁男性和一名20岁女性。

“散乱蜘蛛”是一个讲英语的网络犯罪组织，以使用社会工程学手段入侵公司并窃取数据以进行勒索而闻名，经常冒充员工或承包商欺骗IT服务台授予访问权限。联邦调查局（FBI）上月警告称，“散乱蜘蛛”最近已转向针对零售和航空行业的公司。

KrebsOnSecurity获悉了其中两名嫌疑人的身份。多个接近调查的消息来源称，被捕人员包括欧文·大卫·弗劳尔斯（Owen David Flowers），一名英国男子，据称涉嫌参与2023年9月导致多家米高梅赌场物业关闭的网络入侵和勒索软件攻击。同一消息来源称，被捕的女性与弗劳尔斯正在或最近曾有过恋爱关系。

消息人士告诉KrebsOnSecurity，弗劳尔斯据称使用黑客代号“bo764”、“Holy”和“Nazi”，是米高梅黑客事件后几天匿名接受媒体采访的组织成员。在2024年9月关于该组织的故事中，他的真实姓名被省略，因为他在该事件中尚未被起诉。

本周被捕的更重要的角色是19岁的塔尔哈·朱贝尔（Thalha Jubair），一名英国男子，据称使用各种化名的 exploits 在本网站的故事中已有详细记录。朱贝尔据信使用昵称“Earth2Star”，这对应于专注于网络犯罪的Telegram频道“Star Fraud Chat”的创始成员。

2023年，KrebsOnSecurity发布了一项调查，涉及三个不同的SIM交换组织，这些组织从T-Mobile员工那里钓鱼获取凭证，并利用该访问权限提供一项服务，可以将任何T-Mobile电话号码交换到新设备。Star Chat是这三个SIM交换组织中最活跃和最有影响力的，他们在2022年下半年集体入侵T-Mobile网络超过100次。

朱贝尔据称使用代号“Earth2Star”和“Star Ace”，并且是一个在2022年运作的多产SIM交换组织的核心成员。Star Ace在Telegram的Star Fraud聊天频道发布了这张图片，其中列出了SIM交换的各种价格。

消息人士告诉KrebsOnSecurity，朱贝尔还是LAPSUS$网络犯罪组织的核心成员，该组织在2022年入侵了数十家科技公司，从包括微软、英伟达、Okta、Rockstar Games、三星、T-Mobile和优步在内的科技巨头窃取源代码和其他内部数据。

2022年4月，KrebsOnSecurity发布了来自LAPSUS$的内部聊天记录，这些聊天记录表明朱贝尔使用昵称Amtrak和Asyntax。在聊天中的某个时刻，Amtrak告诉LAPSUS$的组长不要在发送给组织的图片中分享T-Mobile的徽标，因为他之前因SIM交换而被捕，他的父母会怀疑他又重操旧业。

如这些聊天记录所示，LAPSUS$的组长最终决定背叛Amtrak，将他的真实姓名、电话号码和其他黑客代号发布到Telegram的公共聊天室中。

2022年3月，LAPSUS$数据勒索组织的组长在Telegram的公共聊天室中曝光了塔尔哈·朱贝尔的姓名和黑客代号。

那篇关于泄露的LAPSUS$聊天的故事将Amtrak/Asyntax/Jubair与身份“Everlynn”联系起来，Everlynn是一项网络犯罪服务的创始人，该服务出售针对主要社交媒体和电子邮件提供商的欺诈性“紧急数据请求”。在此类计划中，黑客入侵与警察部门和政府机构相关的电子邮件账户，然后发送未经授权的订阅者数据请求，同时声称所请求的信息不能等待法院命令，因为它涉及紧急的生与死问题。

现已解散的“Infinity Recursion”黑客团队的名单，LAPSUS$的一些成员来自该团队。

消息人士称，朱贝尔还使用昵称“Operator”，并且直到最近他还是Doxbin的管理员，Doxbin是一个长期存在且高度有毒的在线社区，用于“dox”或发布人们的深度个人信息。2024年5月，Telegram上的几个流行网络犯罪频道在发现他策划了自己的绑架以拙劣的计划摆脱执法调查人员后嘲笑Operator。

2024年11月，美国当局起诉了五名年龄在20至25岁之间的男子，与“散乱蜘蛛”组织有关，该组织长期依赖招募未成年人来执行其最危险的活动。事实上，该组织的许多核心成员是在十几岁时从Roblox和Minecraft等在线游戏平台招募的，并且多年来一直在完善他们的社会工程学策略。

“有一个明显的模式，一些最堕落的威胁行为者首先在非常年轻的年龄加入网络犯罪团伙，”纽约安全公司Unit 221B的首席研究官艾莉森·尼克松（Allison Nixon）说。“在15岁或更年轻被捕的网络犯罪分子需要严重的干预和监控，以防止多年的大规模升级。”

评论部分摘录：

• Sevy（2025年7月10日）：jared antwon aka bo764过去拥有764，他必须面对与儿童诱骗相关的指控，他们没收了他的笔记本电脑但从未检查，其中包含他的犯罪录音，也包括他的团队成员的犯罪录音，包括对未成年人的勒索（包括使用 soldier of christ/light yagami/comfy/cloak/hibari 和 poodle 的个人）。

• Zero Two（2025年7月11日）：确实，cuckwon764是我遇到过的最虐待狂和最堕落的个体之一。

• paula（2025年7月10日）：jared cuckwon 是否还通过社会工程学手段与 operator、convict 和 reiko (valhal.la) 一起进入“orange”罗马尼亚移动服务提供商？

• javin dillion（2025年7月10日）：我的名字是 javin antwon，我和 operator 一起工作，但我现在正在吸 operator 的 pack，如果你需要更多关于他们攻击的情报，请在 Telegram 上联系我：@weback1257。附：我不在乎隐藏我的脸，我希望你们都喜欢我的 Kenzo 衬衫 https://i.imgur.com/XSHSqyK.jpeg。

• BrianKrebs（2025年7月14日）：是的，为文章而来，为评论而留。

（评论部分包含大量自称与事件相关的匿名用户的混乱、相互指责和虚假信息，许多评论涉及个人攻击、暴露身份或进一步犯罪指控，此处仅摘录部分代表性内容。）