عاد تنظيم “Scattered Lapsus$ Hunters” الإرهابي إلى العمليات النشطة بعد فترة من الصمت عقب هجوم سلسلة التوريد رفيع المستوى الذي استهدف تكاملات طرف ثالث في Salesforce. تشير التقارير الأخيرة إلى قيام المجموعة بإعادة بناء هيكلها التنظيمي وإطلاق حملة تجنيد عدوانية تستهدف الوسطاء والمطلعين.
أظهرت الأنشطة الملاحظة مؤخرًا عبر قنوات Telegram تحت الأرض ومنتديات تداول بيانات الاعتماد قيام الجماعة بإعادة بناء هيكلها التشغيلي وإطلاق حملة تجنيد عدوانية تستهدف المطلعين ووسطاء الوصول الأولي.
تقوم المجموعة حاليًا بالترويج لمنصة جديدة من نوع “برمجيات الفدية كخدمة” (RaaS) باسم “ShinySp1d3r”، والتي توصف بأنها جهد مشترك يضم مشغلين مرتبطين بمجموعات ShinyHunters و Scattered Spider و Lapsus$.
عودة “Scattered Lapsus$ Hunters” بمنصة “ShinySp1d3r”
يمثل هذا الظهور مجددًا تحولًا كبيرًا في الاستراتيجية التشغيلية للمجموعة. على عكس الحملات السابقة التي اعتمدت بشكل أساسي على تكتيكات الهندسة الاجتماعية، تتبع المجموعة الآن نهجًا أكثر تنظيمًا يركز على الحصول على وصول مميز من خلال التعاون مع المطلعين وصفقات عمولة.
تحدد إعلانات التجنيد الخاصة بهم معايير استهداف واضحة: مؤسسات تتجاوز إيراداتها السنوية 500 مليون دولار، مع استثناء كيانات في روسيا والصين وكوريا الشمالية وبيلاروسيا وقطاع الرعاية الصحية.
قدمت المجموعة هياكل عمولات متدرجة، حيث تقدم 25 بالمائة للأنظمة المرتبطة بنطاق Active Directory و 10 بالمائة لمنصات الهوية السحابية مثل Okta و Azure Portal و AWS IAM. يهدف هذا النموذج إلى جذب المزيد من المشاركين بأدوار مختلفة.
استراتيجيات التجنيد والوصول الأولي
حدد محللو CYFIRMA عودة المجموعة من خلال مراقبة مجموعات Telegram المغلقة وبيئات وسطاء الوصول حيث تنشر المجموعة باستمرار رسائل تجنيد وتتفاوض على عمليات شراء الوصول الأولي.
تسعى المجموعة بشكل خاص إلى الحصول على معلومات من المطلعين يمكنهم توفير وصول VPN أو VDI أو Citrix أو AnyDesk من شركات الاتصالات وشركات البرمجيات والألعاب وبيئات مراكز الاتصال.
إضافة إلى ذلك، لوحظت مناقشات في غرف الدردشة تشير إلى اسم LizardSquad، على الرغم من أن هذه الإشارات تبدو جزءًا من استراتيجية بناء سمعة أكثر من كونها دليلًا على شراكة مؤكدة.
أثبتت المجموعة مصداقيتها من خلال مشاركة لقطات شاشة مسربة من لوحة تحكم CrowdStrike الداخلية وصفحة Okta لتسجيل الدخول الموحد، والتي يُزعم أنها مقدمة من مصدر داخلي.
رسائل تطمين حول الأمن التشغيلي
اعتمد مجرمو الإنترنت نهجًا متطورًا لمعالجة المخاوف المحتملة للمطلعين بشأن الكشف عن أنشطتهم. فبعد حادثة CrowdStrike الأخيرة المتعلقة بمطلع داخلي، طمأنت المجموعة بشكل علني المتعاونين المحتملين بالقول إن المخبرين داخل عملياتهم لن يتم اكتشافهم.
وقد تم تأطير قضية CrowdStrike على أنها كشف ذاتي ناتج عن محاولة فاشلة من قبل شخص داخلي، مما يهدف إلى بناء الثقة بين المجندين المحتملين. تشير استراتيجية الرسائل هذه إلى أن المجموعة تدرك الحواجز النفسية التي تمنع المطلعين من الانخراط في أنشطة خبيثة، وأنها تعمل بنشاط للتغلب على هذه المخاوف.
يشير تطوير ShinySp1d3r إلى أن المجموعة تستعد لعمليات مستدامة طوال عام 2026، مع تهديدات علنية لاختراق وتسريب المزيد من بيانات العملاء من المؤسسات المستهدفة.