Het opkomende collectief dat drie prominente cybercriminaliteitsgroepen combineert, Scattered Spider, LAPSUS$ en ShinyHunters, heeft sinds 8 augustus 2025 maar liefst 16 Telegram-kanalen gecreëerd.
“Sinds het debuut zijn de Telegram-kanalen van de groep verwijderd en minstens 16 keer opnieuw gemaakt onder verschillende varianten van de oorspronkelijke naam – een terugkerende cyclus die de moderatie van het platform weerspiegelt en de vastberadenheid van de operators om dit specifieke soort publieke aanwezigheid ondanks verstoring in stand te houden”, aldus Trustwave SpiderLabs, een bedrijf van LevelBlue, in een rapport gedeeld met The Hacker News.
Begin augustus ontstonden verspreide LAPSUS$ Hunters (SLH) die data-afpersingsaanvallen lanceerden tegen organisaties, waaronder organisaties die de afgelopen maanden Salesforce gebruikten. Het belangrijkste aanbod is een afpersing-as-a-service (EaaS) waar andere aangesloten bedrijven zich bij kunnen aansluiten om een betaling van doelwitten te eisen in ruil voor het gebruik van het ‘merk’ en de bekendheid van de geconsolideerde entiteit.
Er wordt aangenomen dat alle drie de groepen banden hebben met een losjes en federaal cybercrimineel bedrijf dat The Com wordt genoemd en dat wordt gekenmerkt door ‘vloeiende samenwerking en het delen van merken’. De bedreigingsactoren hebben sindsdien hun associaties getoond met andere aangrenzende clusters, gevolgd als CryptoChameleon en Crimson Collective.
Volgens de cyberbeveiligingsleverancier blijft Telegram de centrale plaats voor zijn leden om de activiteiten van de groep te coördineren en zichtbaar te maken, waarbij een stijl wordt omarmd die lijkt op hacktivistische groepen. Dit dient een dubbel doel: het veranderen van de kanalen in een megafoon waarmee de bedreigingsactoren hun berichten kunnen verspreiden en hun diensten op de markt kunnen brengen.
“Naarmate de activiteiten volwassener werden, begonnen administratieve posten handtekeningen te bevatten die verwezen naar het ‘SLH/SLSH Operations Center’, een zelf aangebracht label met een symbolisch gewicht dat het beeld projecteerde van een georganiseerde commandostructuur die bureaucratische legitimiteit verleende aan anderszins gefragmenteerde communicatie,” merkte Trustwave op.
Leden van de groep hebben Telegram ook gebruikt om Chinese staatsactoren te beschuldigen van het misbruiken van kwetsbaarheden die naar verluidt het doelwit waren van hen, terwijl ze zich tegelijkertijd richtten op Amerikaanse en Britse wetshandhavingsinstanties. Bovendien is gebleken dat ze kanaalabonnees uitnodigen om deel te nemen aan drukcampagnes door de e-mailadressen van C-suite-managers te vinden en hen meedogenloos te e-mailen in ruil voor een minimumbetaling van $ 100.
Enkele van de bekende dreigingsclusters die deel uitmaken van de bemanning worden hieronder opgesomd, waarbij een samenhangende alliantie wordt benadrukt die verschillende semi-autonome groepen binnen het Com-netwerk en hun technische capaciteiten onder één paraplu samenbrengt:
- Shinycorp (ook bekend als sp1d3rhunters), die optreedt als coördinator en de merkperceptie beheert
- UNC5537 (gekoppeld aan de afpersingscampagne Sneeuwvlok)
- UNC3944 (geassocieerd met verspreide spin)
- UNC6040 (gekoppeld aan recente Salesforce-vishingcampagne)
Tot de groep behoren ook identiteiten als Rey en SLSHsupport, die verantwoordelijk zijn voor het in stand houden van de betrokkenheid, samen met yuka (ook bekend als Yukari of Cvsp), die een geschiedenis heeft in het ontwikkelen van exploits en zichzelf presenteert als een Initial Access Broker (IAB).
Hoewel gegevensdiefstal en afpersing nog steeds de steunpilaar van Scattered LAPSUS$ Hunters zijn, hebben de bedreigingsactoren gezinspeeld op een aangepaste ransomware-familie genaamd Sh1nySp1d3r (ook bekend als ShinySp1d3r) die kan wedijveren met LockBit en DragonForce, wat mogelijke ransomware-operaties in de toekomst suggereert.
Trustwave heeft de dreigingsactoren gekarakteriseerd als ergens in het spectrum van financieel gemotiveerde cybercriminaliteit en aandachtgedreven hacktivisme, waarbij monetaire prikkels en sociale validatie worden gecombineerd om hun activiteiten te voeden.
“Door middel van theatrale branding, recycling van reputaties, platformonafhankelijke versterking en gelaagd identiteitsbeheer hebben de actoren achter SLH een volwassen inzicht getoond in hoe perceptie en legitimiteit kunnen worden bewapend binnen het cybercriminele ecosysteem”, voegde het eraan toe.
“Alles bij elkaar illustreren deze gedragingen een operationele structuur die social engineering, exploitatieontwikkeling en narratieve oorlogsvoering combineert – een mix die meer kenmerkend is voor gevestigde undergroundactoren dan voor opportunistische nieuwkomers.”
Kartelvorming van een andere soort
De onthulling komt op het moment dat Acronis onthulde dat de bedreigingsactoren achter DragonForce een nieuwe malwarevariant hebben gelanceerd die kwetsbare stuurprogramma’s zoals truesight.sys en rentdrv2.sys (onderdeel van BadRentdrv2) gebruikt om beveiligingssoftware uit te schakelen en beveiligde processen te beëindigen als onderdeel van een BYOVD-aanval (Bring your own vulnerability driver).
DragonForce, dat eerder dit jaar een ransomwarekartel lanceerde, werkt sindsdien ook samen met Qilin en LockBit in een poging “het delen van technieken, middelen en infrastructuur te vergemakkelijken” en hun eigen individuele capaciteiten te versterken.
“Affiliates kunnen hun eigen malware inzetten terwijl ze de infrastructuur van DragonForce gebruiken en onder hun eigen merk opereren”, aldus Acronis-onderzoekers. “Dit verlaagt de technische barrière en stelt zowel gevestigde groepen als nieuwe actoren in staat hun activiteiten uit te voeren zonder een volledig ransomware-ecosysteem op te bouwen.”
Volgens het bedrijf met het hoofdkantoor in Singapore werkt de ransomwaregroep samen met Scattered Spider, waarbij de laatste functioneert als een partner om interessante doelwitten te doorbreken via geavanceerde social engineering-technieken zoals spear-phishing en vishing, gevolgd door het inzetten van tools voor externe toegang zoals ScreenConnect, AnyDesk, TeamViewer en Splashtop om uitgebreide verkenningen uit te voeren voordat DragonForce wordt stopgezet.
“DragonForce gebruikte de door Conti gelekte broncode om een duistere opvolger te smeden die zijn eigen stempel moest drukken”, aldus het rapport. “Terwijl andere groepen enkele wijzigingen in de code aanbrachten om er een andere draai aan te geven, hield DragonForce alle functionaliteit ongewijzigd en voegde alleen een gecodeerde configuratie toe aan het uitvoerbare bestand om opdrachtregelargumenten te verwijderen die in de originele Conti-code werden gebruikt.”
