Shiny + Spider = ShinySp1d3r. Формула корпоративного хаоса уже в продакшене
NewsMakerКогда спецслужбы захватывают хакерский форум — и всё идёт не по плану.
Группировки ShinyHunters и Scattered Spider , ранее действовавшие разрозненно, теперь, по всей видимости, работают в связке и ведут скоординированную кампанию по вымогательству данных у корпоративных клиентов Salesforce. Как отмечает ReliaQuest, наблюдается резкий сдвиг в тактике ShinyHunters: от привычной кражи учётных данных и взлома баз данных группа перешла к более изощрённым методам социальной инженерии, включая целенаправленный вишинг и рассылку вредоносных приложений, маскирующихся под легитимные инструменты.
Одним из ключевых элементов атак стали фальшивые страницы входа, стилизованные под интерфейс Okta , с помощью которых жертв убеждают ввести свои данные под предлогом решения «технической проблемы» во время звонка. При этом злоумышленники активно используют VPN, чтобы замаскировать каналы утечки информации.
ShinyHunters , действующая с 2020 года, известна своими громкими взломами и активным участием в подпольных форумах RaidForums и BreachForums . Более того, этот псевдоним фигурировал не только как один из крупнейших продавцов данных, но и как администратор — в том числе при запуске второй (июнь 2023) и четвёртой (июнь 2025) версий BreachForums. Версия v3 загадочным образом исчезла в апреле 2025 года, и причины этого по-прежнему неизвестны.
После временного возобновления работы форум окончательно ушёл в офлайн примерно 9 июня 2025 года. Тем временем зафиксированы атаки на инстансы Salesforce по всему миру, которые Google отслеживает под именем UNC6240 — это группа взаимосвязанных инцидентов с признаками вымогательства.
Практически одновременно с исчезновением форума власти Франции задержали четырёх человек, подозреваемых в управлении BreachForums , включая предположительно и самого ShinyHunters . Однако в комментарии для DataBreaches.net актёр утверждает, что «Франция поспешила с арестами», намекая, что мог быть схвачен лишь его соратник.
Интересно, что вскоре после этого, 8 августа, в Telegram появился новый канал под названием scattered lapsu$ hunters, в котором фигурировали объединённые имена ShinyHunters, Scattered Spider и LAPSUS$ . Участники канала объявили о разработке собственного RaaS-сервиса (ransomware-as-a-service) под названием ShinySp1d3r, якобы способного конкурировать с LockBit и DragonForce. Однако уже через 3 дня канал был заблокирован и удалён администрацией Telegram.
Группировки Scattered Spider и LAPSUS$ также связаны с более широкой киберпреступной сетью под названием The Com — это сообщество англоязычных хакеров, известных атаками с подменой SIM-карт, вымогательствами и даже преступлениями в физическом мире. По мнению FalconFeeds, объединение под новым брендом Scattered LAPSUS$ Hunters символизирует переход к новой фазе цифрового рэкета, где важны не только деньги, но и демонстрация силы и влияния.
ReliaQuest также выявила серию фишинговых доменов с «билетной» тематикой, использующих поддельные страницы авторизации Salesforce — всё это признаки подготовки новой волны атак на крупные компании. Такие домены, как правило, размещаются на инфраструктуре фишинговых наборов, имитирующих SSO-платформы, включая Okta — один из излюбленных методов Scattered Spider .
Анализ более 700 доменов, зарегистрированных в 2025 году и соответствующих паттернам атак Scattered Spider, показал рост интереса к финансовому сектору: количество фишинговых ресурсов, ориентированных на банки и страховые компании, увеличилось на 12% с июля, в то время как внимание к технологическим компаниям снизилось на 5%.
Подчёркивается, что у группировок были как общие цели (розничная торговля, страхование, авиация), так и пересечения в инфраструктуре — в частности, в доменных шаблонах. Также обнаружен пользователь под ником Sp1d3rHunters на BreachForums , который ранее фигурировал в одном из взломов, совершённых ShinyHunters . Указанная учётная запись была создана в мае 2024 года, что указывает на возможное сотрудничество между группами как минимум в течение последнего года.
В довершение к этому, ShinyHunters на днях официально объявили , что форум BreachForums теперь полностью контролируется международными правоохранительными органами. По словам актёра, «платформа сейчас управляется французской полицией BL2C в координации с Минюстом США и ФБР». Также он заявил, что аккаунты «Hollow» и «ShinyHunters» скомпрометированы, а учётной записью «N/A» управляет агент.
В финальной ремарке он предупредил: если сайт BreachForums продолжит работать, это будет означать, что он превратился в ловушку, управляемую международными спецслужбами, и его следует избегать.
Группировки ShinyHunters и Scattered Spider , ранее действовавшие разрозненно, теперь, по всей видимости, работают в связке и ведут скоординированную кампанию по вымогательству данных у корпоративных клиентов Salesforce. Как отмечает ReliaQuest, наблюдается резкий сдвиг в тактике ShinyHunters: от привычной кражи учётных данных и взлома баз данных группа перешла к более изощрённым методам социальной инженерии, включая целенаправленный вишинг и рассылку вредоносных приложений, маскирующихся под легитимные инструменты.
Одним из ключевых элементов атак стали фальшивые страницы входа, стилизованные под интерфейс Okta , с помощью которых жертв убеждают ввести свои данные под предлогом решения «технической проблемы» во время звонка. При этом злоумышленники активно используют VPN, чтобы замаскировать каналы утечки информации.
ShinyHunters , действующая с 2020 года, известна своими громкими взломами и активным участием в подпольных форумах RaidForums и BreachForums . Более того, этот псевдоним фигурировал не только как один из крупнейших продавцов данных, но и как администратор — в том числе при запуске второй (июнь 2023) и четвёртой (июнь 2025) версий BreachForums. Версия v3 загадочным образом исчезла в апреле 2025 года, и причины этого по-прежнему неизвестны.
После временного возобновления работы форум окончательно ушёл в офлайн примерно 9 июня 2025 года. Тем временем зафиксированы атаки на инстансы Salesforce по всему миру, которые Google отслеживает под именем UNC6240 — это группа взаимосвязанных инцидентов с признаками вымогательства.
Практически одновременно с исчезновением форума власти Франции задержали четырёх человек, подозреваемых в управлении BreachForums , включая предположительно и самого ShinyHunters . Однако в комментарии для DataBreaches.net актёр утверждает, что «Франция поспешила с арестами», намекая, что мог быть схвачен лишь его соратник.
Интересно, что вскоре после этого, 8 августа, в Telegram появился новый канал под названием scattered lapsu$ hunters, в котором фигурировали объединённые имена ShinyHunters, Scattered Spider и LAPSUS$ . Участники канала объявили о разработке собственного RaaS-сервиса (ransomware-as-a-service) под названием ShinySp1d3r, якобы способного конкурировать с LockBit и DragonForce. Однако уже через 3 дня канал был заблокирован и удалён администрацией Telegram.
Группировки Scattered Spider и LAPSUS$ также связаны с более широкой киберпреступной сетью под названием The Com — это сообщество англоязычных хакеров, известных атаками с подменой SIM-карт, вымогательствами и даже преступлениями в физическом мире. По мнению FalconFeeds, объединение под новым брендом Scattered LAPSUS$ Hunters символизирует переход к новой фазе цифрового рэкета, где важны не только деньги, но и демонстрация силы и влияния.
ReliaQuest также выявила серию фишинговых доменов с «билетной» тематикой, использующих поддельные страницы авторизации Salesforce — всё это признаки подготовки новой волны атак на крупные компании. Такие домены, как правило, размещаются на инфраструктуре фишинговых наборов, имитирующих SSO-платформы, включая Okta — один из излюбленных методов Scattered Spider .
Анализ более 700 доменов, зарегистрированных в 2025 году и соответствующих паттернам атак Scattered Spider, показал рост интереса к финансовому сектору: количество фишинговых ресурсов, ориентированных на банки и страховые компании, увеличилось на 12% с июля, в то время как внимание к технологическим компаниям снизилось на 5%.
Подчёркивается, что у группировок были как общие цели (розничная торговля, страхование, авиация), так и пересечения в инфраструктуре — в частности, в доменных шаблонах. Также обнаружен пользователь под ником Sp1d3rHunters на BreachForums , который ранее фигурировал в одном из взломов, совершённых ShinyHunters . Указанная учётная запись была создана в мае 2024 года, что указывает на возможное сотрудничество между группами как минимум в течение последнего года.
В довершение к этому, ShinyHunters на днях официально объявили , что форум BreachForums теперь полностью контролируется международными правоохранительными органами. По словам актёра, «платформа сейчас управляется французской полицией BL2C в координации с Минюстом США и ФБР». Также он заявил, что аккаунты «Hollow» и «ShinyHunters» скомпрометированы, а учётной записью «N/A» управляет агент.
В финальной ремарке он предупредил: если сайт BreachForums продолжит работать, это будет означать, что он превратился в ловушку, управляемую международными спецслужбами, и его следует избегать.