Uma campanha de extorsão de dados em andamento que tem como alvo clientes da Salesforce pode em breve voltar sua atenção para os setores de serviços financeiros e provedores de serviços de tecnologia, à medida que ShinyHunters e Scattered Spider parecem estar trabalhando de mãos dadas, revelam novas descobertas.
"Esta última onda de ataques atribuídos ao ShinyHunters revela uma mudança dramática nas táticas, indo além do roubo de credenciais e exploração de bancos de dados anteriormente praticados pelo grupo", disse a ReliaQuest em um relatório compartilhado com a imprensa.
Isso inclui a adoção de táticas que espelham as do Scattered Spider, como vishing altamente direcionado (ou phishing de voz) e ataques de engenharia social, aproveitando aplicativos que se passam por ferramentas legítimas, usando páginas de phishing temáticas da Okta para enganar vítimas a inserir credenciais durante o vishing e obfuscação de VPN para exfiltração de dados.
ShinyHunters, que surgiu pela primeira vez em 2020, é um grupo de ameaças movido por motivações financeiras que orquestrou uma série de violações de dados visando grandes corporações e monetizando-as em fóruns de cibercrime como RaidForums e BreachForums.
Curiosamente, a persona de ShinyHunters tem sido uma participante chave nessas plataformas tanto como contribuinte quanto administradora.
"A persona de ShinyHunters se associou a Baphomet para relançar a segunda instância do BreachForums (v2) em junho de 2023 e mais tarde lançou a instância de junho de 2025 (v4) sozinho", observou a Sophos em um relatório recente.
A versão intermediária (v3) desapareceu abruptamente em abril de 2025, e a causa é incerta.
Enquanto o relançamento do fórum foi de curta duração e o quadro de avisos saiu do ar por volta de 9 de junho, desde então o ator de ameaça foi vinculado a ataques visando instâncias do Salesforce globalmente, um agrupamento de atividades relacionadas à extorsão que o Google está rastreando sob o codinome UNC6240.
Coincidindo com esses desenvolvimentos foi a prisão de quatro indivíduos suspeitos de administrar o BreachForums, incluindo ShinyHunters, pelas autoridades de aplicação da lei francesas.
No entanto, o ator de ameaça disse ao DataBreaches.Net que "a França se apressou em fazer prisões FALSAS, IMPRECISAS", levantando a possibilidade de que um membro "associado" possa ter sido capturado.
E não é só isso.
No dia 8 de agosto, um novo canal no Telegram confundindo ShinyHunters, Scattered Spider e LAPSUS$ chamado "scattered lapsu$ hunters" surgiu, com os membros do canal também alegando estar desenvolvendo uma solução de ransomware-as-a-service chamada ShinySp1d3r que, segundo eles, rivalizaria com LockBit e DragonForce.
Três dias depois, o canal desapareceu.
Tanto Scattered Spider quanto LAPSUS$ têm vínculos com um coletivo mais amplo e nebuloso chamado The Com, uma rede notória de cibercriminosos anglofônicos experientes que é conhecida por se engajar em uma ampla gama de atividades maliciosas, incluindo SIM swapping, extorsão e crime físico.
A ReliaQuest disse que identificou um conjunto coordenado de domínios de phishing temáticos de tickets e páginas de coleta de credenciais da Salesforce que provavelmente foram criadas para campanhas semelhantes visando a Salesforce que visavam empresas de alto perfil em vários segmentos de mercado.
Esses domínios, segundo a empresa, foram registrados usando infraestrutura tipicamente associada a kits de phishing comumente usados para hospedar páginas de login de single sign-on (SSO) -- uma marca dos ataques do Scattered Spider que se passam por páginas de login da Okta.
Além disso, uma análise de mais de 700 domínios registrados em 2025 que correspondiam aos padrões de phishing do Scattered Spider revelou que os registros de domínios visando empresas financeiras aumentaram 12% desde julho de 2025, enquanto o direcionamento a empresas de tecnologia diminuiu 5%, sugerindo que bancos, empresas de seguros e serviços financeiros podem ser os próximos na lista.
Além das sobreposições táticas, o fato de os dois grupos poderem estar colaborando é corroborado pelo fato de terem direcionado os mesmos setores (ou seja, varejo, seguros e aviação) ao mesmo tempo.
"Apoiando essa teoria, há evidências como a aparição de um usuário do BreachForums com o alias 'Sp1d3rHunters', que foi ligado a uma violação anterior do ShinyHunters, bem como padrões sobrepostos de registro de domínio", disseram os pesquisadores Kimberley Bromley e Ivan Righi, acrescentando que a conta foi criada em maio de 2024.
Se essas conexões forem legítimas, sugerem que a colaboração ou sobreposição entre ShinyHunters e Scattered Spider pode estar acontecendo há mais de um ano.
O momento sincronizado e o alvo similar desses ataques anteriores apoiam fortemente a probabilidade de esforços coordenados entre os dois grupos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...