Een voortdurende data -afpersingscampagne die zich richt op Salesforce -klanten kan binnenkort zijn aandacht richten op financiële diensten en technologische dienstverleners, omdat glanzende en verspreide Spider hand in hand lijken te werken, blijkt uit nieuwe bevindingen.
“Deze nieuwste golf van glanzende aanvallen met glanzendhunters onthult een dramatische tactiekenverschuiving, die verder gaat dan de eerdere diefstal van de groep en database-exploitatie van de groep,” zei Reliaquest in een rapport gedeeld met The Hacker News.
Deze omvatten het gebruik van de adoptie van tactieken die spiegel die van Scattered Spider, zoals zeer gerichte Vishing (AKA Voice Phishing) en Social Engineering-aanvallen, het gebruik van apps die masquerades als legitieme tools, gebruikmakend van OKTA-thema phishing-pagina’s om slachtoffers voor te voeren tijdens het invoeren van referenties tijdens VICES en VPN-obfilatie voor data-exfiltratie.
Shinyhunters, die voor het eerst naar voren kwamen in 2020, is een financieel gemotiveerde dreigingsgroep die een reeks datalekken heeft georkestreerd die zich richten op grote bedrijven en deze inkomsten genereren op cybercriminums zoals Raidforums en Breachforums. Interessant is dat de Shinyhunters Persona een belangrijke deelnemer is geweest in deze platforms, zowel als bijdrager als een beheerder.
“De Shinyhunters Persona werkte samen met Baphomet om het tweede exemplaar van Breachforums (V2) opnieuw te lanceren in juni 2023 en lanceerde later alleen de exemplaar van juni 2025 (V4),” merkte Sophos in een recent rapport op. “De interim -versie (v3) is abrupt verdwenen in april 2025 en de oorzaak is onduidelijk.”
Terwijl de herlancering van het forum van korte duur was en het Bulletin Board rond 9 juni offline ging, is de dreigingsacteur sindsdien gekoppeld aan aanvallen gericht op Salesforce-instanties wereldwijd, een cluster van afpersingsgerelateerde activiteit die Google volgt onder de moniker UNC6240.
Samenvallend met deze ontwikkelingen was de arrestatie van vier personen die ervan verdacht werden inbreukenforums, waaronder Shinyhunters, door Franse wetshandhavingsinstanties te runnen. De dreigingsacteur vertelde databreaches.net echter dat “Frankrijk zich haastte om valse, onnauwkeurige arrestaties te maken”, waardoor de mogelijkheid werd opgeroepen dat een “geassocieerd” lid mogelijk is gepakt.
En dat is niet alles. Op 8 augustus ontstond een nieuw telegramkanaal dat glimmende glinerijen, verspreide Spider en Lapsus $ “Scattered Lapsu $ jagers” werd genoemd, waarbij de kanaalleden ook beweerden een ransomware-as-a-service-oplossing te ontwikkelen genaamd Shinysp1d3r dat ze zeiden dat ze Will Rival Lockbit en Dragorforce. Drie dagen later verdween het kanaal.
Zowel verspreide Spider als Lapsus $ hebben banden met een bredere, vage collectief de COM genoemd, een berucht netwerk van ervaren Engelstalige cybercriminelen waarvan bekend is dat ze zich bezighouden met een breed scala aan kwaadaardige activiteiten, waaronder simwisseling, afpersing en fysieke misdaad.
Reliaquest zei dat het een gecoördineerde set phishing-domeinen met ticket-thema en Salesforce-inloggegevens heeft geïdentificeerd die waarschijnlijk zijn gecreëerd voor vergelijkbare campagnes die gericht zijn op Salesforce die gericht zijn op spraakmakende bedrijven in verschillende verticale branche.
Deze domeinen, zei het bedrijf, werden geregistreerd met behulp van infrastructuur die meestal geassocieerd zijn met phishing-kits die gewoonlijk worden gebruikt om inlogpagina’s voor één aanmelding (SSO) te hosten-een kenmerk van de aanvallen van verspreide Spider die zich voordeden in de inlogpagina’s van OKTA.
Bovendien heeft een analyse van meer dan 700 domeinen die in 2025 zijn geregistreerd die overeenkomen met verspreide Spider -phishingpatronen, aangetoond dat domeinregistraties gericht op financiële bedrijven sinds juli 2025 met 12% zijn toegenomen, terwijl het richten op technologiebedrijven met 5% is afgenomen, wat suggereert dat banken, verzekeringsmaatschappijen en financiële diensten in lijn zouden kunnen zijn.
De tactische overlappingen opzij, dat de twee groepen mogelijk samenwerken, wordt bevestigd door het feit dat ze zich rond dezelfde tijd gericht hebben op dezelfde sectoren (dwz retail, verzekering en luchtvaart).
“Ondersteuning van deze theorie is bewijs zoals het verschijnen van een breachforums ‘gebruiker met de alias’ SP1D3Rhunters ‘, die gekoppeld was aan een verleden Shinyhunters -inbreuk, evenals overlappende domeinregistratiepatronen,” zei onderzoekers Kimberley Bromley Bromley en Ivan Righi, dat de account werd gemaakt in mei 2024.
“Als deze verbindingen legitiem zijn, suggereren ze dat samenwerking of overlap tussen glanzende en verspreide spin al meer dan een jaar aan de gang is. De gesynchroniseerde timing en soortgelijke targeting van deze eerdere aanvallen ondersteunt sterk de waarschijnlijkheid van gecoördineerde inspanningen tussen de twee groepen.”
