Um coletivo emergente que reúne três grupos cibercriminosos de destaque — Scattered Spider, LAPSUS$ e ShinyHunters — criou ao menos 16 canais no Telegram desde 8 de agosto de 2025.
“Desde sua estreia, os canais no Telegram do grupo foram removidos e recriados pelo menos 16 vezes, adotando variações do nome original — um ciclo recorrente que reflete tanto a moderação da plataforma quanto a determinação dos operadores em manter esse tipo específico de presença pública, mesmo diante das interrupções”, afirmou a Trustwave SpiderLabs, empresa do grupo LevelBlue, em relatório compartilhado com o The Hacker News.
Batizado de Scattered LAPSUS$ Hunters (SLH), o coletivo surgiu no início de agosto e tem promovido ataques de extorsão de dados contra organizações, incluindo algumas que utilizam Salesforce, nos últimos meses.
Um dos principais serviços oferecidos pelo grupo é o extortion-as-a-service (EaaS), no qual afiliados podem aderir para exigir pagamentos das vítimas, utilizando a “marca” e a notoriedade do grupo consolidado.
Os três grupos são avaliados como parte de uma rede cybercriminoso frouxamente federada, conhecida como The Com, caracterizada pela “colaboração fluida e compartilhamento de marca”.
Os atores por trás desse coletivo também apresentaram associações com outros grupos relacionados, como CryptoChameleon e Crimson Collective.
Segundo a Trustwave, o Telegram segue sendo o principal local onde os membros coordenam ações e expõem as operações do grupo, adotando um estilo semelhante ao de hacktivistas.
Essa estratégia tem duplo propósito: transformar os canais em megafones para espalhar mensagens e também promover seus serviços.
“Com o amadurecimento das atividades, as postagens administrativas passaram a incluir assinaturas que mencionam o ‘SLH/SLSH Operations Centre’, uma denominação autoaplicada que carrega peso simbólico, projetando a imagem de uma estrutura de comando organizada e conferindo legitimidade burocrática a uma comunicação que, de outra forma, seria fragmentada”, destaca o relatório da Trustwave.
Além disso, os integrantes da SLH usam o Telegram para acusar atores estatais chineses de explorarem vulnerabilidades que eles também alegam ter como alvo, ao mesmo tempo em que miram órgãos de investigação dos EUA e do Reino Unido.
Eles também convidam os assinantes dos canais a participar de campanhas de pressão, coletando endereços de e-mail de executivos de alto escalão e enviando mensagens incessantes em troca de um pagamento mínimo de US$ 100.
Entre os grupos que fazem parte desse coletivo, destacam-se:
- Shinycorp (também conhecido como sp1d3rhunters), que atua como coordenador e gerencia a percepção da marca;
- UNC5537 (ligado a campanhas de extorsão Snowflake);
- UNC3944 (associado ao Scattered Spider);
- UNC6040 (conectado a campanhas recentes de vishing contra Salesforce).
Também integram o grupo identidades como Rey e SLSHsupport, responsáveis pela manutenção do engajamento, além de yuka (também conhecido como Yukari ou Cvsp), conhecido pelo desenvolvimento de exploits e que se apresenta como initial access broker (IAB).
Apesar de roubo de dados e extorsão continuarem sendo as principais atividades do Scattered LAPSUS$ Hunters, os atores indicaram o desenvolvimento de uma família customizada de ransomware chamada Sh1nySp1d3r (ou ShinySp1d3r), que teria como rivais nomes consagrados como LockBit e DragonForce, sinalizando potenciais operações de ransomware futuramente.
A Trustwave descreve esses atores como situados na convergência entre crime financeiro motivado por lucro e hacktivismo orientado pela busca de atenção, combinando incentivos monetários e validação social para alimentar suas ações.
“Através de branding teatral, reciclagem reputacional, amplificação cross-platform e gestão complexa de identidades, os responsáveis pela SLH demonstraram compreensão madura de como percepção e legitimidade podem ser usadas como armas dentro do ecossistema cibercriminoso”, explica o relatório.
“Somados, esses comportamentos revelam uma estrutura operacional que combina engenharia social, desenvolvimento de exploits e guerra narrativa — uma combinação mais característica de atores underground estabelecidos do que de oportunistas iniciantes.”
### Cartelização de Outra Natureza
Esse cenário surge simultaneamente ao anúncio da Acronis, que revelou que os responsáveis pelo grupo DragonForce lançaram uma nova variante de malware que utiliza drivers vulneráveis, como truesight.sys e rentdrv2.sys (parte do BadRentdrv2), para desabilitar softwares de segurança e encerrar processos protegidos, por meio de uma técnica conhecida como bring your own vulnerable driver (BYOVD).
O DragonForce, que criou um cartel de ransomware no início deste ano, formou parcerias com Qilin e LockBit para “facilitar o compartilhamento de técnicas, recursos e infraestrutura”, fortalecendo suas próprias capacidades individuais.
“Afiliados conseguem implantar seus próprios malwares utilizando a infraestrutura do DragonForce, operando sob suas próprias marcas”, explicam pesquisadores da Acronis.
“Isso reduz a barreira técnica e permite que grupos consolidados e novatos conduzam operações sem precisar montar um ecossistema completo de ransomware.”
Segundo a empresa sediada em Singapura, o DragonForce está alinhado com o Scattered Spider, que atua como afiliado especializado em infiltração, utilizando técnicas avançadas de engenharia social como spear-phishing e vishing, além do uso de remote access tools como ScreenConnect, AnyDesk, TeamViewer e Splashtop para realizar um reconhecimento detalhado antes de executar o DragonForce.
“O DragonForce baseou seu ransomware no código-fonte vazado do Conti, criando um sucessor oculto que carrega sua própria assinatura”, relata a Acronis.
“Outros grupos alteraram o código para dar uma nova identidade, mas o DragonForce manteve todas as funcionalidades, adicionando apenas uma configuração criptografada no executável para eliminar os argumentos em linha de comando usados no código original do Conti.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...