Tập đoàn mới nổi kết hợp ba nhóm tội phạm mạng nổi bật là Scattered Spider, LAPSUS$ và ShinyHunters đã tạo ra không dưới 16 kênh Telegram kể từ ngày 8 tháng 8 năm 2025.
“Kể từ khi ra mắt, các kênh Telegram của nhóm đã bị xóa và tạo lại ít nhất 16 lần dưới nhiều tên gọi khác nhau – một chu kỳ lặp đi lặp lại phản ánh sự kiểm duyệt của nền tảng và quyết tâm của các nhà điều hành nhằm duy trì sự hiện diện công khai đặc biệt này bất chấp sự gián đoạn,” Trustwave SpiderLabs, một công ty của LevelBlue, cho biết trong một báo cáo chia sẻ với The Hacker News.
Scattered LAPSUS$ Hunters (SLH) nổi lên vào đầu tháng 8, phát động các cuộc tấn công tống tiền dữ liệu chống lại các tổ chức, bao gồm cả những tổ chức sử dụng Salesforce trong những tháng gần đây. Điểm nổi bật trong các dịch vụ của nhóm là extortion-as-a-service (EaaS) mà các chi nhánh khác có thể tham gia để đòi thanh toán từ các mục tiêu đổi lấy việc sử dụng "thương hiệu" và danh tiếng của thực thể hợp nhất.
Cả ba nhóm được đánh giá là có liên kết với một doanh nghiệp tội phạm mạng lỏng lẻo và liên kết được gọi là The Com, được đánh dấu bằng "sự hợp tác linh hoạt và chia sẻ thương hiệu." Các tác nhân đe dọa này kể từ đó đã thể hiện mối liên hệ của họ với các nhóm lân cận khác được theo dõi là CryptoChameleon và Crimson Collective.
Theo nhà cung cấp an ninh mạng, Telegram tiếp tục là nơi trung tâm để các thành viên phối hợp và tăng cường khả năng hiển thị cho các hoạt động của nhóm, áp dụng phong cách tương tự như các nhóm hacktivist. Điều này phục vụ một mục đích kép: biến các kênh của nhóm thành một loa phóng thanh để các tác nhân đe dọa truyền bá thông điệp của họ, cũng như tiếp thị dịch vụ của họ.
“Khi hoạt động trưởng thành, các bài đăng quản trị bắt đầu bao gồm các chữ ký đề cập đến 'SLH/SLSH Operations Centre,' một nhãn hiệu tự áp dụng mang trọng lượng biểu tượng, thể hiện hình ảnh một cấu trúc chỉ huy có tổ chức, mang lại tính hợp pháp về mặt hành chính cho các thông tin liên lạc vốn bị phân mảnh,” Trustwave lưu ý.
Các thành viên của nhóm cũng đã sử dụng Telegram để cáo buộc các tác nhân nhà nước Trung Quốc khai thác các lỗ hổng mà họ cho là đã nhắm mục tiêu, đồng thời nhắm mục tiêu vào các cơ quan thực thi pháp luật của Hoa Kỳ và Vương quốc Anh. Hơn nữa, họ còn mời những người đăng ký kênh tham gia vào các chiến dịch gây áp lực bằng cách tìm địa chỉ email của các giám đốc điều hành cấp C và liên tục gửi email cho họ để đổi lấy khoản thanh toán tối thiểu 100 USD.
Một số nhóm đe dọa nổi tiếng là một phần của băng nhóm được liệt kê dưới đây, làm nổi bật một liên minh gắn kết, tập hợp nhiều nhóm bán tự trị trong mạng lưới The Com và các khả năng kỹ thuật của họ dưới một ô dù chung –
- Shinycorp (hay còn gọi là sp1d3rhunters), người đóng vai trò điều phối viên và quản lý nhận diện thương hiệu
- UNC5537 (liên quan đến chiến dịch tống tiền Snowflake)
- UNC3944 (liên quan đến Scattered Spider)
- UNC6040 (liên quan đến chiến dịch vishing Salesforce gần đây)
Cũng là một phần của nhóm còn có các danh tính như Rey và SLSHsupport, những người chịu trách nhiệm duy trì sự tương tác, cùng với yuka (hay còn gọi là Yukari hoặc Cvsp), người có lịch sử phát triển exploits và tự giới thiệu là một initial access broker (IAB).
Trong khi đánh cắp dữ liệu và tống tiền tiếp tục là hoạt động chính của Scattered LAPSUS$ Hunters, các tác nhân đe dọa đã gợi ý về một họ ransomware tùy chỉnh có tên Sh1nySp1d3r (hay còn gọi là ShinySp1d3r) để cạnh tranh với LockBit và DragonForce, cho thấy khả năng sẽ có các hoạt động ransomware trong tương lai.
Trustwave đã mô tả các tác nhân đe dọa này nằm ở đâu đó trong phổ tội phạm mạng có động cơ tài chính và hacktivism theo định hướng chú ý, pha trộn các ưu đãi tiền tệ và xác thực xã hội để thúc đẩy các hoạt động của họ.
“Thông qua việc xây dựng thương hiệu mang tính sân khấu, tái chế danh tiếng, khuếch đại đa nền tảng và quản lý danh tính nhiều lớp, các tác nhân đứng sau SLH đã thể hiện sự nắm bắt trưởng thành về cách thức nhận thức và tính hợp pháp có thể được vũ khí hóa trong hệ sinh thái tội phạm mạng,” báo cáo cho biết thêm.
“Tổng hợp lại, những hành vi này minh họa một cấu trúc hoạt động kết hợp kỹ thuật xã hội, phát triển exploit và chiến tranh kể chuyện – một sự pha trộn đặc trưng hơn của các tác nhân ngầm đã thành danh so với những kẻ mới nổi cơ hội.”
Sự hình thành liên minh tội phạm mạng kiểu khác
Tiết lộ này được đưa ra khi Acronis tiết lộ rằng các tác nhân đe dọa đứng sau DragonForce đã tung ra một biến thể phần mềm độc hại mới sử dụng các driver dễ bị tổn thương như truesight.sys và rentdrv2.sys (một phần của BadRentdrv2) để vô hiệu hóa phần mềm bảo mật và chấm dứt các tiến trình được bảo vệ như một phần của cuộc tấn công bring your own vulnerable driver (BYOVD).
DragonForce, vốn đã ra mắt một liên minh ransomware vào đầu năm nay, kể từ đó cũng đã hợp tác với Qilin và LockBit nhằm "tạo điều kiện chia sẻ kỹ thuật, tài nguyên và cơ sở hạ tầng" và tăng cường khả năng riêng của từng nhóm.
“Các chi nhánh có thể triển khai phần mềm độc hại của riêng họ trong khi sử dụng cơ sở hạ tầng của DragonForce và hoạt động dưới thương hiệu riêng của họ,” các nhà nghiên cứu Acronis cho biết. “Điều này làm giảm rào cản kỹ thuật và cho phép cả các nhóm đã thành lập và các tác nhân mới thực hiện các hoạt động mà không cần xây dựng một hệ sinh thái ransomware hoàn chỉnh.”
Nhóm ransomware, theo công ty có trụ sở tại Singapore, có liên kết với Scattered Spider, trong đó nhóm sau hoạt động như một chi nhánh để đột nhập vào các mục tiêu quan tâm thông qua các kỹ thuật kỹ thuật xã hội phức tạp như spear-phishing và vishing, sau đó triển khai các công cụ truy cập từ xa như ScreenConnect, AnyDesk, TeamViewer và Splashtop để thực hiện trinh sát sâu rộng trước khi triển khai DragonForce.
“DragonForce đã sử dụng mã nguồn bị rò rỉ của Conti để tạo ra một kẻ kế nhiệm đen tối được thiết kế để mang dấu ấn riêng của nó,” báo cáo cho biết. “Trong khi các nhóm khác đã thực hiện một số thay đổi đối với mã để tạo ra một hướng đi khác, DragonForce vẫn giữ nguyên tất cả chức năng không thay đổi, chỉ thêm một cấu hình được mã hóa vào tệp thực thi để loại bỏ các đối số dòng lệnh đã được sử dụng trong mã Conti gốc.”
