三大勒索组织ShinyHunters、Scattered Spider、Lapsus$齐聚 tg

上周三大勒索软件组织ShinyHunters、Scattered Spider、Lapsus$齐聚 tg频道爆料，宣布合并成立“Scattered LAPSUS$ Hunters”组织。现在爆料频道已被封。详情可以参考：https://falconfeeds.io/blogs/scattered-lapsus-hunters-investigative-timeline

 

2025 年 8 月，一个新的 Telegram 频道突然出现，公然将自己与三个臭名昭著的网络犯罪品牌捆绑在一起：Scattered Spider、ShinyHunters和LAPSUS$。这个组织自称“Scattered LAPSUS$ Hunters”，立即开始疯狂地传播泄密、勒索威胁和黑客言论。该频道的名称本身混淆了多个知名威胁行为者的绰号，反映出一个更广泛的黑客团体（称为“ The Community ”或“The Com”）的成员经常在可互换的旗帜下运作。几天之内，Telegram 频道就发布了一系列混乱的被盗数据样本、赎金要求和挑衅性消息，制造了一场公开的奇观，让人想起了最初的 LAPSUS$ 黑客事件。本博客重点关注他们在出现的关键初始阶段的可观察到的活动，旨在细致地阐明他们不断演变的作案手法，彻底评估他们对威胁形势的直接和潜在的长期影响，按时间顺序回顾该组织已知的声明和泄密事件、他们的公开勒索手段、他们与现有黑客组织的联系，甚至他们对竞争对手犯罪论坛的声明。

起源和隶属关系

安全专家指出，尽管Scattered Spider、ShinyHunters和LAPSUS$名称不同，但它们有相当大的重叠。谷歌威胁分析小组追踪的核心组织为UNC3944 ，称他们是受经济利益驱动的西方青少年。这些攻击者有社会工程和数据盗窃活动的历史，从 2022 年至 2023 年的 LAPSUS$ 狂潮到 ShinyHunters 在论坛上出售的数据泄露，以及 Scattered Spider 在 2023 年至 2025 年对电信和科技公司的黑客攻击。事实上，调查人员怀疑这三个组织都是来自一个名为“The Com”的地下社区的松散关联组织。成员似乎在各个团体之间交叉或合作，这使得归属难以确定。“Scattered LAPSUS$ Hunters”电报频道的标题就是对这种融合的公开认可。换句话说，该频道的运营商希望全世界知道他们代表了所有这些威胁行为者品牌的综合混乱。

值得注意的是，ShinyHunters 角色（有时称为“Shiny”或ShinyCorp）一直是数据泄露和 BreachForums 地下市场中的关键参与者。与此同时，Scattered Spider（也称为Octo Tempest或0ktapus）因与 ALPHV/BlackCat 等团伙合作，将数据盗窃与勒索软件攻击相结合而臭名昭著。尽管在 2022-2025 年期间，来自英国、法国、西班牙、加拿大等国的多名成员被捕，但这些团体（很可能还有“猎人”频道工作人员）仍在继续运作，似乎并未受到宣传的阻碍，甚至更加大胆。LAPSUS$ 在 2022 年后就销声匿迹了，但其大胆公开勒索的精神显然在这个新集体中延续下来。

分散的 Lapsus$ 猎人 – The Com HQ 分散的 SP1D3R 猎人

该频道的活动特点是，既有平台的夸张表演，也有直接以经济利益为目的的敲诈勒索行为。观察到的主要行为包括：

共享部分数据泄露：这些以诱人的预告和选择性证据的形式呈现，旨在验证他们的妥协主张，而无需完全透露他们的库存。

“HMU”（打我）推销：这些帖子直接招揽顾客出售据称被盗的数据和/或被入侵系统的访问权限。

参与模因驱动的对抗：这种策略用于嘲讽和激怒现有的安全供应商和研究人员，进一步扩大他们的恶名，并培养独特的反建制形象。

进行互动民意调查：这些民意调查允许观众对关键的运营决策进行投票，例如下一个泄露哪个受害者的数据或何时发布信息，这是对 Lapsus$ 过去方法的直接呼应。

发出倒计时式泄密威胁：这些公开威胁针对特定的政府机构和企业品牌，旨在对受害者施加强大的公众和运营压力。

此外，该渠道积极推广一款名为“SHINYSP1D3R”的勒索软件即服务 (RaaS) ，声称其是 LockBit 和 DragonForce 等现有知名勒索软件组织的更优替代方案，尽管这些说法缺乏证据支持。他们还积极推销所谓的 0-day 和 1-day 漏洞库，涵盖了各种攻击媒介。

分析审查显示，多起声称的受害者与2024年Snowflake数据泄露事件（公开追踪编号为UNC5537）和2025年Salesforce攻击活动（公开追踪编号为UNC6040）直接重叠。因此，我们强烈建议，所有渠道上的指控均应视为未经核实，直至其能够通过主要证据得到独立证实。从运营角度来看，该组织高度公开且咄咄逼人的行动本身就可能对目标组织造成严重的声誉损害，并施加巨大的勒索压力，无论其技术实力或其漏洞声明的真实性如何。

探索频道简介

“Scattered Lapsus$ Hunters” 组织迅速在网上建立了影响力，并通过一个高度品牌化和引人注目的 Telegram 频道表明了其意图。

主要名称： Scattered Lapsus$ Hunters – The Com HQ SCATTERED SP1D3R HUNTERS

这个冗长的名字显然是想与“The Com”（Scattered Spider 起源的更广泛的网络犯罪社区）联系起来，并直接援引他们希望模仿的三个关键团体。

主要网址： t[.]me/scatteredlapsusp1d3rhunters（8月8日至8月11日），t[.]me/sp1d3rlapsushunters（8月12日）

这是他们发布公告和直接互动的主要面向公众的渠道。

备份 URL： t[.]me/scatteredsp1d3rhunters

从一开始就建立备用频道表明了针对潜在的审核、频道删除或平台执法行动的主动措施，表明了一定程度的运营规划。

该讨论组的挑衅性名称表明了其咄咄逼人、反安全供应商的姿态，并为其追随者提供了公共论坛。

公共联系方式： shinygroup@tuta[.]com、shinycorp@tuta[.]com

使用安全电子邮件服务（tuta.com）进行公共联系表明他们希望保持匿名，同时方便潜在买家或受害者直接沟通。

订阅者规模：捕获时约为 7.1K（高度不稳定）。

短短 72 小时内订阅用户数量的快速积累凸显了他们有效利用了轰动性的品牌和社交媒体策略来快速获得关注。

保留： Telegram 弹出窗口指示消息在约 24 小时内自动删除。

这种短暂的消息保留期为其操作增加了一层短暂性，使防御者的回顾性分析和证据收集变得具有挑战性。

观察到的行为

部分数据预告和“联系我购买”帖子：这些有双重目的：展示访问权限和发起私人销售对话。

对安全供应商和研究人员进行模因式嘲讽：这会培养一种反抗意识，并试图使安全社区追踪他们的努力变得不合法。

用于决定是否/何时泄露的民意调查：这种互动元素吸引了观众，创造了期待，并作为对受害者的压力策略。

对政府机构和企业品牌的倒计时威胁：一种直接的公共勒索形式，旨在制造紧迫感并迫使受害者参与。

RaaS 品牌：宣布“SHINYSP1D3R”作为 LockBit/DragonForce 等知名勒索软件组织的“更优替代方案”，反映出其进军勒索软件领域的野心，尽管目前的营销声明并未得到证实。

漏洞营销：该渠道拥有一长串未经审查的0-day/1-day漏洞清单。这些漏洞据称涵盖了各种攻击面，包括常见浏览器漏洞、移动操作系统漏洞（例如，iOS 17.4-18+完整漏洞链、Android 0-click漏洞）、操作系统级权限提升 (LPE) 以及安全设备漏洞。据报道，这些漏洞的销售是通过特定联系人@natalieportman0293进行的。

不拘一格且极具攻击性的内容组合强烈表明，该组织的主要目标是最大限度地扩大影响力，招募新的成员（包括技术和非技术成员），并通过公开表演和心理压力创造显著的影响力，而不是遵守通常与高级持续性威胁相关的纪律性或谨慎的技巧。

内容类型和平台 TTP

“Scattered Lapsus$ Hunters”电报频道上发布的内容展示了一种刻意而交替的类型，反映了他们对勒索和自我推销的多方面方法。

类型学。帖子始终交替出现：

预告式泄密：这类泄密通常涉及内部系统截图、数据库片段或样本文件，旨在提供足够的证据，使其可信，但又不至于泄露被盗数据的全部范围。这些“证据”对于证实其说法和向受害者施压至关重要。

推销：直接发布广告，推销被盗数据、访问凭证或声称的漏洞。这些帖子明确说明了被盗资产的可用性，并鼓励感兴趣的人“联系我”（HMU）购买。

对高管和机构的威胁：公开点名批评个人或整个政府机构，通常还会附带具体要求或期限。这会加大压力，迫使公众做出回应。

民意调查指导发布决策：这是一种互动且游戏化的方式，订阅者投票决定接下来要泄露哪些数据，或者是否泄露。这种策略，Lapsus$ 曾使用过，它既能提升参与度，又能将责任推卸给受众，同时仍然服务于该组织潜在的勒索目标。

模因战争旨在扩大影响力并淹没怀疑论者：使用互联网模因，通常对安全供应商或研究人员进行贬损，旨在树立一种反抗、不敬和优越的形象，试图破坏反击努力并吸引更年轻、更互联网化的受众。

平台上的 TTP（面向开源）：

公开勒索压力：通过直接威胁、公众民意调查以及选择性的妥协“证据”来实现。这种外部压力旨在迫使受害者进行谈判或顺从。

帮助台/多因素身份验证 (MFA) 操纵的言论：该组织的通讯中经常使用与 Octo Tempest/Scattered Spider 等传统社会工程学和基于身份的攻击手法相符的语言或提及，例如以帮助台为目标以及绕过多因素身份验证 (MFA)。然而，值得注意的是，目前观察到的受害者群体与 ShinyHunters/UNC5537 活动的方法更为接近，后者主要侧重于 SaaS（软件即服务）和数据仓库利用。

里程碑式限制（例如，“订阅人数达到 2 万时发布”）：这种策略激励订阅者积极扩大频道的覆盖面和内容（例如，与他人分享），从而有效地将受众转化为其恶意活动的营销工具。这为他们的勒索活动搭建了一个更大的平台。

即使没有独立验证的漏洞利用或可直接归因于该特定组织造成的大规模技术入侵，他们精心设计的证据和针对性的攻击方式，本身就足以触发大规模事件响应，并对涉案组织造成大规模的品牌损害。由于其威胁具有公开性，因此声誉损害可能先于已验证的技术入侵而发生。

管理员和角色

“Scattered Lapsus$ Hunters”频道拥有多个不同的昵称和身份，每个都似乎在该组织的行动中扮演着临时角色。务必谨慎对待这些身份，因为马甲和借用身份是网络犯罪黑社会中常用的伎俩，旨在掩盖真实身份和关系。

 

观察到的管理员/助推器句柄

UNC5537 — 行动/索赔：此用户名与已知的负责 2024 年雪花攻击活动的威胁集群名称直接冲突。该账号出现在频道中，应主要被视为借用身份并试图利用恶名，除非有确凿证据直接将此账号与实际的 UNC5537 行动联系起来。这表明该账号在行动执行和声称受到攻击方面发挥了作用。

unc3944 — 行动/索赔：此数字代号与 Mandiant 常用的 UNC 式命名约定相呼应，该约定通常用于指代不同的威胁团体（UNC3944 是“Scattered Spider”的别名）。尽管存在，但我们对其直接身份映射的可信度较低，因为它也可能是借用或模仿的角色。其角色与 UNC5537 类似，专注于行动和声称违规行为。

Shinycorp / @sp1d3rhunters /@sloke48— 协调者/声明者：该角色似乎在风格上对该团体的整体品牌形象至关重要，直接融合了“Shiny”和“Sp1d3r”的元素。该昵称可能在团体内部扮演协调角色，并在发布声明方面发挥着重要作用。

Alg0d / @alg0d1337 — 声称（例如，谷歌、维多利亚的秘密、路威酩轩集团）；参与程度不详：据观察，此人曾提出过具体的指控，例如与维多利亚的秘密、路威酩轩集团、Splunk 相关的指控。除具体指控外，此人参与的程度目前尚不清楚。

其他：该频道还拥有一系列其他知名昵称，包括“Rey”、“Por que nao”、“yuka”、“zzz”、“CCP AGENT 99283”（可能是一个具有挑衅性和误导性的角色）、“roona”、通用的“分散失误猎人”昵称，以及一个高度耸人听闻的“著名P***STAR”。这些多样化且常常令人发指的昵称的存在，进一步支持了该组织最大化吸引关注和制造混乱的策略。

这些账号的角色分配主要根据其在频道内的行为和互动模式推断，因此对最终归因的置信度为低至中等。很可能存在大量使用马甲线（由一人控制多个虚假账号）和交叉发布（由不同人跨多个不相关的频道发布内容）的现象，以营造出比实际规模更大、影响力更大的假象。

泄密事件和索赔事件年表

“Scattered LAPSUS$ Hunters” Telegram频道于 2025 年 8 月 8 日星期五上线。在接下来的四天里（直到 8 月 11 日似乎被关闭），该群组发布了大量帖子。与传统的泄密论坛（它们只是简单地转储数据）不同，这个频道除了泄密之外，还混杂了表情包、玩笑和实时评论。以下是最初几天关键事件、声明和泄密事件的时间表：

2025 年 8 月 8 日（频道上线）：该频道于下午出现，首先发布了一些被盗数据和文件的片段。早期的帖子包括法律文件：例如，该组织泄露了与澳航近期数据泄露事件相关的法庭文件——特别是澳航获得的一项旨在封杀黑客的禁令——以及黑客对该禁令的尖刻回复。他们还分享了发给谷歌的传票封面，甚至还有法国向摩尔多瓦发出的司法协助请求（具体内容尚不清楚）。这些泄露的信息显然是从 ShinyHunters 先前的事件中获得的，表明该频道甚至会公开为阻止 ShinyHunters 而采取的保密法律行动。几个小时之内，该组织就开始泄露或出售 2023 年至 2025 年早期数据泄露事件的数据：

维多利亚的秘密：他们发布了一张来自该零售商内部管理控制台的截图，作为入侵维多利亚的秘密系统的证据，并指出被盗数据（客户信息）正在出售。该零售商已于5月份披露了这一入侵事件。

古驰 (Gucci )：奢侈品牌古驰 (Gucci) 的 100 份客户记录样本被曝光，其中包括个人信息（姓名、出生日期、联系方式）。古驰的母公司此前从未报告过此类泄露事件，因此此次事件再次暴露了古驰的数据遭到泄露。

Neiman Marcus：该组织以1比特币（约合12万美元）的价格出售所谓的“Neiman Marcus完整数据库”。该帖子包含一个CSV文件目录列表作为证据。观察人士指出，这可能与2024年“雪花”黑客活动期间发生的Neiman Marcus数据泄露事件有关。

香奈儿：他们分享了与法国奢侈品牌香奈儿谈判的截图，并附上一条说明，称香奈儿被盗数据正在出售（香奈儿直到 7 月 25 日才得知数据泄露事件，消息人士告诉媒体，这与 Salesforce 供应链泄露有关；Telegram 帖子首次公开证明香奈儿事件与这些参与者有关。）

2025年8月9日：频道上的活动加速，既有新的受害者，也有旧的怨恨：

政府目标：黑客将注意力转向政府组织。他们声称入侵了美国国土安全部 (DHS)，发布截图作为证据，并夸口他们的一名成员“又一次入侵了 DHS”。他们还列出了对英国、法国、巴西和印度政府机构以及巴西联邦警察和法院系统的入侵行为。也许最肆无忌惮的是对英国司法部 (MoJ)的威胁：该组织要求释放Jared Antwon，他们称他为“LAPSUS$ 的阵亡士兵”，大概是一名被捕的成员。在全大写的咆哮中，他们向英国当局发出最后通牒——在 8 月 11 日星期一上午 6:00 之前释放 Jared，否则我们将泄露整个司法部法律援助机构数据库及其所有 GitHub 代码存储库。这篇帖子充斥着轻蔑的语气（“腐败的内阁，玷污了我挚爱的王国！”），并附上了据称来自司法部的文件作为筹码。这份公开的威胁充分体现了该组织利用场面进行勒索的伎俩，实质上是将私人勒索变成了公开的最后通牒（甚至还援引英国国家犯罪局的言论，嘲讽道：“来抓我，国家犯罪局，呜呜喵呜！”）

企业和奢侈品受害者：该频道继续公布企业受害者名单。截至目前，帖子已指出古驰、香奈儿和维多利亚的秘密（如上所述）遭到黑客攻击，并增加了一个新的高调目标：斯巴鲁。这家日本汽车巨头被列为新的受害者，但帖子中并未详细说明斯巴鲁的数据泄露情况。这些攻击者还警告奢侈时尚品牌卡地亚和路易威登即将发生“大规模泄密”，显然声称他们也窃取了这些公司的数据。这被视为试图加剧奢侈品零售业的恐慌；业内观察人士指出，该组织可能试图让这些知名品牌感到恐慌，并先发制人地向它们施压。（在撰写本文时，卡地亚或路易威登尚未泄露任何数据，但仅凭这一威胁就凸显了该组织的公开恐吓策略。）

可口可乐欧洲太平洋合作伙伴：在 9 日短暂休止之前，该组织泄露了大型跨国瓶装公司可口可乐欧洲太平洋合作伙伴的数据库。泄露的数据包括公司代表的联系信息和其他可能不重要的细节。审查可口可乐数据的研究人员指出，这些信息似乎主要是商业联系信息（可能已经公开），这表明这次泄密更多的是作秀，而不是重大损失。尽管如此，可口可乐的子公司被入侵的事实仍然是个新闻，这表明即使是财富 500 强公司也成为了攻击目标。该组织的厚颜无耻进一步体现在一条嘲笑受害者事件响应的信息中；一篇帖子开玩笑说一家澳大利亚公司“拔出电缆”来阻止黑客的传播，并夸口说“他们真的必须拔出电缆来阻止我们的shinysp1d3r勒索软件传播……哈哈哈哈哈”，并穿插着多种语言的笑声（英语“hahaha”、西班牙语“jajajaja”）。

Zomato“Shell 访问权限”特技：这或许是该组织最游戏化的勒索手段之一。他们将针对大型外卖和餐饮平台Zomato的攻击变成了公开挑战。他们声称已获取 Zomato 服务器的Web Shell（远程访问权限），并威胁要取消该 Shell 的公开访问权限，以惩罚该公司的不合作。然而，他们还耍了个花招：管理员承诺，如果他们的 Telegram 帖子在聊天中获得 50 个回复（点赞），他们就会泄露 Shell 的详细信息。这种诡异的“点赞入侵”伎俩实际上引发了观众的反感，体现了该组织如何博取眼球并提升观众参与度。情报摘要显示，该帖子被明确定义为对 Zomato 不遵守其要求的“惩罚”。（目前尚不清楚该组织是否达到了 50 个回复的门槛，或者 Shell 访问权限是否最终被曝光，但这起事件暴露了该组织非传统的勒索手段。）

“奢华购物”与嘲讽 AT&T：同一天，该频道还炫耀其成员的嚣张气焰。一名用户（使用昵称“famous P0RNST4R >_<”）上传了一系列奢华购物的照片，包括一块劳力士手表、几款高端珠宝（潘多拉）以及电子产品，并声称这些都是用之前黑客勒索的赎金购买的。在配文中，这位用户调侃地向AT&T “道歉” ，说道： “我很抱歉用 AT&T 勒索的钱买了我的第一块手表。我不知道，我和 RW 没有任何关系 :/”。语气中充满了讽刺——AT &T似乎被指为支付赎金（或其数据被出售）的受害者，而这名黑客在炫耀这些收益的同时，还开玩笑地与这些收益划清界限。这种公开吹嘘（“炫耀”）的行为非常符合 LAPSUS$ 式的行为，影响力和嘲笑受害者是其行事方式的一部分。

2025年8月10日：尽管（或者说正因为）前一天那些古怪的举动，该组织并没有放慢脚步。10日，他们的帖子既强调了不断升级的数据泄露，也夸大了他们的黑客能力：

安联泄密：该频道发布了据称来自安联人寿（全球保险公司安联的人寿保险部门）的数据库，甚至置顶了此帖子以确保曝光。他们提供了下载链接，宣传“免费提供安联人寿数据库”，其中包含SSN（社会安全号码）等敏感的个人数据。该帖子试图为此次泄密辩解，声称只要“搜索互联网”即可获得这些数据，实际上是在挑衅安联或当局质疑他们。帖子中有一则注释写道： “这是一个公共数据库……而非私人记录……安联人寿放弃了对这些数据的权利”，暗示由于数据已被窃取并可能在其他地方流传，黑客认为有权重新发布这些数据。这种以“信息自由”为幌子泄露数据的言辞风格让人联想到黑客行动主义的辩解，但与该组织以牟利为目的的帖子相比，这种辩解显得苍白无力。

出售桑坦德银行：该组织还宣布了一起重大银行数据泄露事件。他们声称已经入侵桑坦德银行（具体来说，是针对该银行在西班牙和拉丁美洲的业务数据），并提出出售这些宝贵数据。其中一条帖子宣称“30 比特币出售桑坦德银行数据库”，并列出了所谓的赃物： 3000 万客户数据、600 万个有余额的账户号码、2800 万张信用卡号，以及员工和客户的公民信息。在帖子发布时，30 比特币的价值约为 150 万至 170 万美元。这个要价凸显了所宣传数据的数量。网络犯罪监测信息指出，鉴于桑坦德银行的知名度和数据集的庞大规模，桑坦德银行数据泄露事件是“猎人”频道最重要的新发现之一。黑客是否真的掌握了所有这些数据尚未得到证实，但单是这一声明就令人震惊——它表明该组织直接试图通过其公共渠道将银行入侵行为货币化（本质上既是黑客又是数据经纪人）。

勒索软件夸耀：此时，该组织也在大肆宣扬其勒索软件功能。他们曾多次表示正在开发名为“ShinySpider”或“ShinySp1d3r”的勒索软件即服务 (RaaS)平台。8 月 10 日，一名管理员吹嘘其即将推出的勒索软件加密速度可达到近1 GB/秒，并可根据受害者资源随时调整 — — “我们的 RaaS 会根据受害者资源进行自适应 — — 我们见过的最快速度约为 1/GBps”，他们声称，随后还嘲讽道： “Fk LockBit 和 DragonForce，yayayaya！” LockBit 是最臭名昭著的勒索软件团伙之一，而 DragonForce 是一个威胁组织；通过诋毁他们，“猎人”实际上是想将自己定位为比老牌勒索软件组织更大、更邪恶的组织。在另一篇帖子中，他们大肆宣扬“美国网络安全和基础设施安全局 (CISA) 尚未准备好应对首个内核级 ESXi 锁”，指的是他们声称正在构建的一款高级 VMware ESXi 虚拟机管理程序勒索软件。 “DRAGONFORCE 和 LOCKBIT 根本比不上 SHINYSP1D3R 即将推出的 RAAS！！！！！！！”帖子中充斥着夸张的言论。这些夸张的言论并非空谈——该组织显然是在试图营造一种令人恐惧的形象，以进一步进行勒索。（目前，他们的勒索软件的有效性尚未得到公开验证，但他们在沟通中确认了推出自己的 RaaS 的意图。）

 

漏洞库：除了勒索软件，Scattered LAPSUS$ Hunters 还讨论了他们用于渗透公司的漏洞库。威胁情报分析师指出，该组织的 Telegram 帖子提到了具体的企业软件漏洞：例如， Oracle WebLogic和SAP NetWeaver被列为他们可以攻破的技术。目前尚不清楚这些是零日漏洞（之前未知的漏洞）还是对已知缺陷的有效利用，但这意味着除了社会工程学之外，他们还有多种方法可以入侵目标的基础设施。事实上，该组织似乎将高科技黑客技术与低科技手段融合在一起——他们通过网络钓鱼获取员工访问权限（尤其是使用语音钓鱼获取 Salesforce 登录代码），同时还声称拥有针对热门平台的零日漏洞。一名成员甚至在聊天中调侃道“我有一个 Splunk 0day，lmk [告诉我]”，暗示他们拥有 Splunk（一种广泛使用的企业日志平台）的漏洞利用程序——此前，该组织因美国出口合规性问题而遭遇访问障碍，Splunk 网站屏蔽了他们的访问。对此，他们回应道： “我们会回来的，Splunk，让我拿激光笔来”。这番话既幽默又带有威胁性——如果属实，Splunk 零日漏洞可能非常危险，尽管此类吹嘘尚未得到证实。尽管如此，这些说法表明该组织希望全世界相信其拥有的威胁武器库的范围，从社会工程学手段到潜在的关键软件漏洞。

 

2025年8月11日：周一，Telegram 频道突然从平台上消失（至少对大多数用户而言）。安全研究人员指出，Telegram 似乎已在当天早上禁止或删除了该频道，这可能是由于明显的犯罪活动和用户举报。（该组织成员之一“Shiny”在与DataBreaches.net的聊天中承认，该频道于周五上线，但“周一就被 Telegram 禁止并删除了”。）

然而，该组织的存在并没有完全消失——他们在 Telegram 上维护着一个附属聊天组和备用频道，成员们继续在这些讨论中交流。在这些讨论中，可能就在主频道关闭之前，该组织又提出了一个耸人听闻的主张——这一次，是关于网络犯罪地下世界的另一个角落：

 

BreachForums“被攻陷”声明： Scattered LAPSUS$ 猎人在其群组内发帖声称，臭名昭著的黑客论坛BreachForums已被执法部门全面攻陷。他们声称，最近复活的 BreachForums（有时称为“Breached”）现在已处于法国警方和 FBI 的控制之下，包括其服务器基础设施甚至 PGP 加密密钥。根据猎人的说法，该论坛的管理员帐户（特别是“Hollow”甚至“ShinyHunters”等用户别名）已被当局接管，这意味着所有私人消息、用户数据和论坛通信实际上都在执法部门手中。他们警告说，BreachForums 的 clearnet 域名（breachforums[.]hn）及其 Tor .onion镜像站点在这次接管中受到了损害。虽然这一令人担忧的警告尚未得到官方证实，但它确实与最近发生的事件相符：2025年6月下旬，法国警方在国际打击行动中逮捕了五名与运营BreachForums相关的人员（包括“ShinyHunters”、“Hollow”、“Noct”等账号）。美国当局还对一名BreachForums管理员提起了指控，据报道，该论坛的服务器在此次联合行动中被查封。事实上，后续分析表明，执法部门在此次突袭行动中获得了BreachForums的所有数据库、源代码和用户日志。名为“ShinyHunters”的人员——他于6月重新启动了BreachForums——被捕，FBI的起诉书显示，另一名管理员（IntelBroker）自2月以来一直被秘密拘留。在此背景下，Scattered LAPSUS$ 猎人的言论实际上反映了许多网络犯罪社区成员的担忧：任何由旧管理员重启 BreachForums 的行为都是陷阱，当局就潜伏在幕后。事实上，到 7 月底，新参与者（“Jaw”）曾试图再次重启 BreachForums，但就连他们也承认，之前的平台已被警方彻底控制，并敦促用户放弃旧身份。猎人利用这一说法吓跑竞争对手和受众——实际上是告诉人们“不要相信 BreachForums，它现在归联邦政府所有”。无论是出于真正的担忧，还是对竞争对手平台的抨击，这一说法都突显了该组织对地下网络犯罪的深度渗透，以及他们愿意对正在进行的执法行动发表笼统的声明。 （值得注意的是，截至撰写本文时，BreachForums 确实仍处于离线状态，并且多个消息来源称，它的关闭对执法部门来说是一次重大胜利。）

 

敲诈勒索手段和公众闹剧

Scattered LAPSUS$ 猎人组织表现出了他们倾向于使用戏剧性的、面向公众的勒索手段，这与更为隐秘的网络犯罪团伙截然不同。他们利用公共 Telegram 频道作为沟通渠道，有效地将每一次数据泄露或勒索变成了一场闹剧。他们的做法的一些显著特点包括：

 

公开最后通牒：该组织通常不会与受害者私下谈判，而是公开发布最后通牒。威胁英国司法部就是一个典型例子，要求释放被捕的黑客，否则泄露政府数据。同样，他们在一条 Telegram 帖子中直接向 Salesforce 首席执行官马克·贝尼奥夫提问，写道：“尊敬的马克·贝尼奥夫先生，请向我们支付 20 比特币，否则我们将泄露 91 个组织、跨国企业集团和政府的数据。”通过点名批评贝尼奥夫（一位亿万富翁科技首席执行官）并索要赎金，他们试图在众目睽睽之下向 Salesforce（及其知名客户）施压。这种公开勒索的手段显然是从 LAPSUS$ 借鉴而来，后者曾臭名昭著地使用 Telegram 批评公司和官员。它利用公众的恐惧和羞耻感来向受害者施压，迫使他们支付赎金。

 

泄密游戏化： Zomato 事件——黑客承诺如果他们的帖子获得足够多的点赞，他们就会“丢掉”一个壳——展现了该组织如何将其犯罪行为游戏化。这不仅娱乐了他们的 Telegram 用户，也起到了恐吓的作用；就好像黑客在说：“看，我们可以随心所欲地泄露你的访问权限，甚至基于一个挑战。”这模糊了严重入侵和网络噱头之间的界限，这让受害组织感到不安。通过让粉丝参与到这一过程中（征求反馈、投票等），该组织为每次泄密营造了一种奇观感。

嘲讽和嘲弄：在整个通信过程中，该组织会嘲讽目标，甚至执法部门。他们称英国司法系统腐败，戏谑地指责联邦调查局和国家犯罪局，并辱骂竞争对手的黑客（例如，嘲笑 LockBit 勒索软件低劣）。他们还会嘲讽企业的安全措施——“Splunk 会回归”的俏皮话和对拔掉网线的嘲笑都流露出幸灾乐祸的语气。这种行为并非虚张声势，而是精心策划，旨在提升他们在同行犯罪分子中的声誉，并在受害公司中引发对其自身安全措施的怀疑（没有什么比因未能阻止入侵者而被嘲笑更令人痛心的了）。

使用表情包和俚语：该频道的语言充斥着表情包、网络俚语，甚至还有动漫表情符号（“uwu”、“>.<”）。例如，司法部威胁的结尾是“uwu meow >.>w<.<”——一种带有讽刺意味的卖萌嘲讽。黑客们采用看似幼稚的语气，营造出一种不顾后果、鲁莽行事的形象。这与报道中 Scattered Spider/Lapsus 的许多成员都是青少年或年轻人的情况相符。这种不敬的风格也可能意在迷惑和扰乱受害者——很难想象有人会把严重的犯罪行为当成笑话。

 

所有这些策略都服务于双重目的：勒索受害者，同时提升该组织的恶名。他们公开传播信息，最大限度地向受害者施压（如果泄密，受害者的声誉将受损），同时又能提升犯罪分子的自尊心和品牌影响力。正如一位网络安全评论员所指出的，这类组织的运作方式“更像是有组织的勒索团伙——制造场面来恐吓”，本质上是利用社交媒体来实施犯罪。“散落的LAPSUS$猎人”在他们短暂却影响深远的首次亮相中，无疑充分运用了这种伎俩。

 

与竞争对手黑客和威胁情报公司的联系

 

从一开始，Scattered LAPSUS$ Hunters 就将自己定位为不仅针对受害公司，还针对其他黑客组织和网络安全行业本身。他们经常提及或侮辱其他参与者，这让我们得以洞察他们的竞争关系和自我认知：

 

攻击勒索软件组织：该组织曾多次诋毁现有的勒索软件运营。在声称即将推出的勒索软件即服务 (RaaS) 将超越所有其他勒索软件时，他们点名提到了LockBit（目前最活跃的勒索软件团伙之一）和DragonForce。称 LockBit 与他们的项目相比“微不足道”，这番话大胆（尽管有些可疑），很可能是为了吸引眼球。犯罪分子如此公开地诋毁彼此的“产品”并不常见，但在这里，这表明“猎人”组织希望成为新的领头羊。这种竞争可能是出于个人目的，也可能只是一种宣传策略，或者两者兼而有之。

LAPSUS$ 的传承：该组织以 LAPSUS$ 命名，与臭名昭著的 2022 团伙的反建制立场一致。LAPSUS$ 以嘲讽其入侵的大型科技公司而闻名（例如，在被攻陷的 Microsoft Azure DevOps 页面上发布“打开邮件查看我的黑客攻击记录”）。Hunters 频道也表现出类似的精神，例如，向受 Google 黑客攻击影响的用户泄露 Google 安全通知邮件，通过公开其入侵通知来暗中嘲讽 Google。他们还明确要求英国释放一名 LAPSUS$ 成员，将其诬陷为烈士。这表明了对最初 LAPSUS$ 成员的忠诚，或者至少是敬意——也许其中一些人参与其中。这是一种黑客品牌传承，新的活动延续了 LAPSUS$ 的精神（即使成员身份不同）。

嘲讽威胁情报 (CTI) 公司：该组织也毫不避讳地嘲讽网络安全捍卫者。他们在帖子中提到了Mandiant （一家领先的威胁情报公司，追踪 UNC3944 等组织），实际上是在告诉 Mandiant，Scattered Spider “并不平静，只是换了个名字而已”。他们以此吹嘘自己欺骗或躲过了安全分析师。直接向马克·贝尼奥夫 (Marc Benioff) 发帖也可以看作是对更广泛安全社区的嘲讽——Salesforce 的数据泄露事件是谷歌和 Mandiant 等公司一直在研究的更大规模行动的一部分，因此公开勒索 Salesforce 的首席执行官无异于对所有事件响应人员嗤之以鼻。猎人组织还嘲笑有关他们的报道；例如，当谷歌的云部门公开披露其受到 Salesforce 供应链攻击时，黑客们吹嘘说：“如果像谷歌这样的万亿富翁都无法阻止我们，那么亿万富翁也算不了什么……执法部门也没有这么多资金。 ” “Shiny” 向DataBreaches.net发表的这番声明，显示出了对企业安全预算和执法工作的蔑视，暗示无论投入多少资源，该组织都能智胜“好人”。

合作与竞争：耐人寻味的是，尽管“猎人”们会嘲讽一些同行，但他们也展现出地下组织内部合作的迹象。他们的整个行动融合了 ShinyHunters 和 Scattered Spider 的个性，这两个组织在过去可能是独立的。该频道的帖子邀请财富 500 强企业的内部人士与他们联系（用户名为“@UNC5537”），以帮助开展未来的黑客攻击，这表明他们正在招募或至少是愿意合作的人。这种招募方式与 LAPSUS$ 试图贿赂员工以获得访问权限的策略相呼应。这也表明该组织将自己视为志同道合的黑客社区（“The Com”），而非严格的等级制帮派。他们联合起来对付共同的敌人，甚至重复使用彼此的品牌名称（可能是为了利用每个组织的恶名）。这种不稳定的合作对于试图给威胁行为者贴上标签的防御者来说令人沮丧——正如美国网络安全审查委员会指出的那样，这些行为者之间的重叠和临时联盟使得归因和追踪变得极其困难。

 

总而言之，Scattered LAPSUS$ 猎人将自己描绘成地下网络世界中的顽童——无所畏惧对手和权威，并会迅速挑战或嘲笑任何阻碍他们的人。他们能否名副其实尚不确定，但他们的出现无疑引起了受害者和安全界的警惕。

 

威胁评估与情景

 

“Scattered Lapsus$ Hunters” 的活动需要进行全面的威胁评估，考虑其声明的意图、观察到的能力以及潜在的未来轨迹。

 

意图：该组织的主要动机是出于经济目的的勒索，旨在从受感染实体中获取金钱收益。这与通过公开曝光和嘲讽来损害声誉的明确目标错综复杂地交织在一起。其次，但重要的意图是社区建设，包括招募联盟成员（吸引新成员以扩大其运营能力）和漏洞经纪（促进网络犯罪生态系统中访问权限和漏洞的买卖）。

 

能力：该组织在注意力操作方面表现出相当高的熟练程度。这包括他们熟练地使用社交媒体（Telegram 民意调查、模因战、倒计时）来引起公众兴趣、施加心理压力并操纵公众看法。虽然有人暗示他们能够进行高级社会工程学（与 Scattered Spider 的历史策略一致），但他们声称的漏洞清单的真正深度和真实性仍然不确定，并且很大程度上未经证实。然而，至关重要的是，即使提供部分或分阶段的数据点，也足以迫使受害组织进行昂贵且破坏性的分类、危机沟通和事件响应工作，无论是否发生了全面的技术漏洞或漏洞是否真实存在。对妥协的感知与现实一样具有破坏性。

 

攻击目标：该组织攻击范围广泛，主要针对具有以下特征的实体，以最大限度地发挥其影响力：

 

SaaS 足迹（Salesforce/Snowflake）：这些平台具有吸引力，因为它们拥有丰富的集中数据，并且有可能对多个客户产生广泛的影响。

奢侈品零售和航空：这些行业往往因其较高的媒体曝光度而成为攻击目标，这意味着任何妥协都可能迅速引发负面新闻和压力。

公共部门实体：政府组织由于其数据的敏感性以及数据泄露后公众的强烈抗议，成为高价值目标。

 

情景（未来 2-6 周）：根据观察到的模式和类似群体的性质，短期内可能会出现几种合理的情景：

“生命证明”数据下降：如果他们的用户增长停滞，或者他们的说法面临越来越多的质疑，该组织可能会发布更多实质性的部分数据来验证他们的品牌说法并重申可信度。

转向备用频道： Telegram 采取审核措施后，或群组内部出现分裂/冲突时，他们可能会将主要运营转移到既定的备用频道，或创建全新的频道，这将使追踪更加困难。（注：2025 年 8 月 12 日，新频道已创建）

模仿者泛滥：他们吸引注意力的策略的成功可能会激励其他网络犯罪分子创建类似的渠道或采用类似的品牌，从而进一步增加安全研究人员的删除和归因线的复杂性。

通过中介将访问权/漏洞转售给第三方：该组织可能并非直接执行，而是选择将已验证的访问权或漏洞出售给其他威胁行为者。这将有效模糊责任界限，并允许不同的实体利用最初的入侵行为牟利。

 

由于“散播失误猎人”的公开羞辱策略和引发媒体关注的能力，我们将其总体风险评估为“高声誉风险”。此外，其运营风险也为“中高”，尤其对于那些涉嫌参与 Snowflake/Salesforce 供应链（无论是作为直接用户还是服务提供商）或服务台/多因素身份验证 (MFA) 工作流薄弱的组织而言，这些工作流是社会工程学攻击团伙的常见初始访问途径。