英国逮捕“散裂蜘蛛”勒索组织四名成员

英国当局本周逮捕了四名年龄在17至20岁之间的人员，涉嫌与近期针对零售商玛莎百货（Marks & Spencer）、哈罗德（Harrods）以及英国食品零售商Co-op Group的数据盗窃和勒索攻击有关。这些入侵事件与一个多产但松散的网络犯罪团伙“散裂蜘蛛”（Scattered Spider）有关，该团伙近期的其他受害者还包括多家航空公司。

英国国家犯罪局（NCA）拒绝确认被捕人员的姓名，仅表示其中包括两名19岁男性、一名17岁男性和一名20岁女性。

“散裂蜘蛛”是一个讲英语的网络犯罪团伙，以其使用社会工程学手段入侵公司并窃取数据进行勒索而闻名，经常冒充员工或承包商欺骗IT服务台授予访问权限。联邦调查局（FBI）上月警告称，“散裂蜘蛛”近期已转向针对零售和航空行业的公司。

KrebsOnSecurity获悉了其中两名嫌疑人的身份。多个接近调查的消息来源称，被捕人员包括欧文·大卫·弗劳尔斯（Owen David Flowers），一名英国男子，据称参与了2023年9月导致多家米高梅赌场（MGM Casino）物业关闭的网络入侵和勒索软件攻击。同一消息来源称，被捕女性与弗劳尔斯有或近期有过恋爱关系。

消息人士告诉KrebsOnSecurity，弗劳尔斯据称使用黑客代号“bo764”、“Holy”和“Nazi”，是米高梅黑客事件后几天匿名接受媒体采访的团伙成员。他的真实姓名在2024年9月关于该团伙的报道中被省略，因为他当时尚未因此事件被起诉。

本周被捕的更重要人物是19岁的塔尔哈·朱贝尔（Thalha Jubair），一名英国男子，据称使用多个化名进行的活动已在本网站的报道中有详细记录。朱贝尔据信使用昵称“Earth2Star”，对应专注于网络犯罪的Telegram频道“Star Fraud Chat”的创始成员。

2023年，KrebsOnSecurity发布了一项调查，涉及三个不同的SIM交换团伙，这些团伙从T-Mobile员工那里网络钓鱼获取凭证，并利用该访问权限提供一项服务，可以将任何T-Mobile电话号码交换到新设备。Star Chat是这三个SIM交换团伙中最活跃和影响最大的，他们在2022年下半年集体入侵T-Mobile网络超过100次。

朱贝尔据称使用代号“Earth2Star”和“Star Ace”，并且是2022年运作的一个多产SIM交换团伙的核心成员。Star Ace在Telegram的Star Fraud聊天频道发布了这张图片，其中列出了SIM交换的各种价格。

消息人士告诉KrebsOnSecurity，朱贝尔还是LAPSUS$网络犯罪团伙的核心成员，该团伙在2022年入侵了数十家科技公司，从微软、英伟达、Okta、Rockstar Games、三星、T-Mobile和优步等科技巨头窃取源代码和其他内部数据。

2022年4月，KrebsOnSecurity发布了LAPSUS$的内部聊天记录，这些聊天记录表明朱贝尔使用昵称Amtrak和Asyntax。在聊天中的某个时刻，Amtrak告诉LAPSUS$团伙领导人不要在发送给团伙的图片中分享T-Mobile的标识，因为他之前因SIM交换被捕，他的父母会怀疑他重操旧业。

如这些聊天记录所示，LAPSUS$的领导人最终决定背叛Amtrak，将他的真实姓名、电话号码和其他黑客代号发布到Telegram的公共聊天室中。

2022年3月，LAPSUS$数据勒索团伙的领导人在Telegram的公共聊天室中曝光了塔尔哈·朱贝尔的姓名和黑客代号。

那篇关于泄露的LAPSUS$聊天记录的文章将Amtrak/Asyntax/朱贝尔与身份“Everlynn”联系起来，Everlynn是一项网络犯罪服务的创始人，该服务出售针对主要社交媒体和电子邮件提供商的欺诈性“紧急数据请求”。在此类计划中，黑客入侵与警察部门和政府机构相关的电子邮件账户，然后发送未经授权的订阅者数据请求，同时声称所请求的信息不能等待法院命令，因为它涉及紧急的生与死问题。

现已解散的“Infinity Recursion”黑客团队名单，LAPSUS$的一些成员来自该团队。

消息人士称，朱贝尔还使用昵称“Operator”，并且直到最近他还是Doxbin的管理员，Doxbin是一个长期存在且高度有害的在线社区，用于“人肉”或发布人们的深度个人信息。2024年5月，Telegram上的几个流行网络犯罪频道在发现Operator策划了自己的绑架计划以摆脱执法调查人员后嘲笑他。

2024年11月，美国当局起诉了五名年龄在20至25岁之间的男子，与“散裂蜘蛛”团伙有关，该团伙长期依赖招募未成年人执行其最危险的活动。事实上，该团伙的许多核心成员是在十几岁初期从Roblox和Minecraft等在线游戏平台招募的，并且多年来一直在完善他们的社会工程学策略。

“有一个明显的模式，一些最堕落的威胁行为者首先在非常年轻的年龄加入网络犯罪团伙，”纽约安全公司Unit 221B的首席研究官艾莉森·尼克松（Allison Nixon）说。“在15岁或更年轻被捕的网络犯罪分子需要严重的干预和监控，以防止多年的大规模升级。”

评论节选：

Sevy（2025年7月10日）：jared antwon aka bo764过去拥有764，他必须承担与儿童诱骗相关的指控，他们没收了他的笔记本电脑但从未检查，其中包含他罪行的录音，也包括他团队成员的罪行录音，包括对未成年人的勒索（包括使用代号soldier of christ/light yagami/comfy/cloak/hibari和poodle的个人）。
Zero Two（2025年7月11日）：没错，cuckwon764是我遇到过的最虐待狂和最堕落的个体之一。
paula（2025年7月10日）：jared cuckwon不是还社会工程学地与operator、convict和reiko（valhal.la）一起入侵了罗马尼亚移动服务提供商“orange”吗？
vbb（2025年7月10日）：高贪婪，低害怕被抓 = 灾难的配方，因为随着时间的推移，被抓的几率增加。那么多人被抓，那么多人逃脱。
Raven（2025年7月10日）：我听说一个名叫Raven的人，来自Barking & Dagenham的Blood Council团伙，参与了一些散裂蜘蛛攻击和对儿童医疗设施的单独攻击。
Cuckvict764（2025年7月10日）：是的。听说过这个‘Convict 764’家伙，真名Baron Martin。显然是勒索软件场景中非常活跃的人，今年早些因CSAM被捕。我知道他之前与一些威胁行为者有联系，但我从没想过他会与散裂蜘蛛有关，这太疯狂了。我想这确实有道理，因为他是Starfall Reiko的朋友，Reiko参与了入侵联想。一定是遇到了Reiko的一些朋友并卷入了那个空间。
javin dillion（2025年7月10日）：我的名字是javin antwon，我和operator合作过，但我现在正在抽operator的包，如果你需要更多关于他们攻击的情报，请在Telegram上联系我：@weback1257。附：我不在乎隐藏我的脸，我希望你们都喜欢我的Kenzo衬衫 https://i.imgur.com/XSHSqyK.jpeg。
kush（2025年7月10日）：我（kush，团伙的关键成员之一）在2023年被我的团队背叛并出卖给FBI，我恨他们，他们正在让我被捕（FBI在追捕我），我需要保护，我今年夏天/秋天将被捕。
Hahahaha（2025年7月10日）：威胁行为者的评论带有错误信息，背叛了他们的恐慌。这不会帮助你们！你们都要进监狱！
Snooxay（2025年7月10日）：我是MGM黑客事件的呼叫者和主谋，我不可触碰，RIU没人能抓到我。
LockBit_Support_Nigga（2025年7月11日）：释放我的兄弟们。
Convict from valhal.la（2025年7月11日）：我只想说这篇文章很cringe，你们 realistically 能对我们做什么？ nothing，放弃吧，FBI放弃吧，我们不可触碰，请参考这个剪辑 https://youtu.be/2tA4HSgTY8o，我在入侵公司时感觉像街区上的孩子，你们可以非常生气，但最终你们是处女，我有女孩，我可以出名，你们可以祈祷我垮台，但你们应该加入我们，停止向联邦调查局告密。
paula（2025年7月11日）：为什么krebs没有提到operator在现实生活中勒索我并让我和他住在一起？我仍然受到创伤，我只有15岁，他和他的朋友包括但不限于reiko、convict、riu、soldier of christ（hibari/comfy）曾经让我为他们上摄像头做奇怪的事情，为什么你们总是掩盖罪犯，只让你们的文章专注于黑客方面，而他们进行勒索。
Robert Barr（2025年7月11日）：去问问thala的爸爸，他舒适的羽毛钱包坐在8000 XMR是否值得静脉注射二乙酰吗啡。
Ellie Williams（2025年7月11日）：我来这里是因为我以为scrizon正在接受调查……这篇文章哪里说了？家伙可能是国际刑警的一部分，只是放松抽大麻并从他的服务中收集txids和用户数据。