网络犯罪集团 ShinyHunters 和 Scattered Spider 联手对企业进行勒索攻击

最新调查结果显示，针对 Salesforce 客户的持续数据勒索活动可能很快将注意力转向金融服务和技术服务提供商，因为 ShinyHunters 和 Scattered Spider 似乎正在联手合作。

ReliaQuest在与 The Hacker News 分享的一份报告中表示： “最新一波 ShinyHunters 攻击表明该组织在策略上发生了巨大转变，超越了该组织之前的凭证盗窃和数据库利用。”

这些措施包括采用与Scattered Spider类似的策略，例如高度针对性的语音钓鱼（又称语音网络钓鱼）和社会工程攻击，利用伪装成合法工具的应用程序，使用 Okta 主题的网络钓鱼页面诱骗受害者在语音钓鱼期间输入凭据，以及使用 VPN 混淆进行数据泄露。

网络安全
ShinyHunters于 2020 年首次出现，是一个以经济利益为目的的威胁组织，策划了一系列针对大型企业的数据泄露事件，并在 RaidForums 和 BreachForums 等网络犯罪论坛上利用这些事件牟利。值得注意的是，ShinyHunters 一直是这些平台的关键参与者，既是贡献者，也是管理员。

Sophos 在最近的一份报告中指出： “ShinyHunters 角色与 Baphomet 合作，于 2023 年 6 月重新启动了 BreachForums 的第二个实例 (v2)，随后又单独启动了 2025 年 6 月的实例 (v4)。临时版本 (v3) 于 2025 年 4 月突然消失，原因尚不清楚。”

虽然该论坛的重新启动是短暂的，公告板在 6 月 9 日左右下线，但此后威胁行为者一直与针对全球 Salesforce 实例的攻击有关，这是一组与勒索有关的活动，谷歌正在以 UNC6240 为代号进行跟踪。

与此同时，法国执法部门逮捕了四名涉嫌运营BreachForums（包括ShinyHunters）的个人。然而，该威胁行为者告诉DataBreaches.Net，“法国仓促地进行了虚假且不准确的逮捕”，这增加了“关联”成员可能已被抓获的可能性。

不仅如此，8月8日，一个名为“Scattered lapsu$ hunters”（分散的lapsu$猎人）的Telegram新频道出现，该频道将ShinyHunters、Scattered Spider和LAPSUS$混为一谈。频道成员还声称正在开发一种名为ShinySp1d3r的勒索软件即服务解决方案，并称其将与LockBit和DragonForce竞争。三天后，该频道消失。

Scattered Spider 和 LAPSUS$ 都与一个更广泛、更模糊的组织 The Com 有联系，这是一个臭名昭著的经验丰富的英语网络犯罪分子网络，他们以从事各种恶意活动而闻名，包括 SIM 卡交换、勒索和人身犯罪。

ReliaQuest 表示，它已经确定了一组以票务为主题的钓鱼域名和 Salesforce 凭证收集页面，这些页面可能是为针对 Salesforce 的类似活动而创建的，这些活动针对的是各个行业垂直领域的知名公司。

身份安全风险评估
该公司表示，这些域名是使用通常与网络钓鱼工具包相关的基础设施注册的，这些工具包通常用于托管单点登录 (SSO) 登录页面——这是 Scattered Spider冒充Okta 登录页面的攻击的标志。

此外，对 2025 年注册的 700 多个与分散蜘蛛网络钓鱼模式相匹配的域名进行分析显示，自 2025 年 7 月以来，针对金融公司的域名注册量增加了 12%，而针对科技公司的域名注册量减少了 5%，这表明银行、保险公司和金融服务公司可能是下一个目标。

撇开战术上的重叠不谈，这两个团体可能正在进行合作，因为他们在同一时间瞄准了相同的行业（即零售、保险和航空）。

研究人员 Kimberley Bromley 和 Ivan Righi 表示：“支持这一理论的证据包括，BreachForums 上出现了一个别名为‘Sp1d3rHunters’的用户，他与过去的 ShinyHunters 漏洞有关，而且域名注册模式也存在重叠。”他们还补充说，该账户创建于 2024 年 5 月。

如果这些联系属实，则表明 ShinyHunters 和 Scattered Spider 之间的合作或重叠可能已持续一年多。此前两次攻击的时间同步且目标相似，有力地证明了这两个组织之间可能存在协同行动。