Amerikaanse aanklagers hebben een vermeende Scattered Spider-hacker in verband gebracht met een inbraak in een luxe juwelier met behulp van een persistent Windows-apparaat-ID, volgens een onlangs onthulde federale klacht.
Microsoft-documenten koppelden dat ID eerst aan het account dat de aanvallers gebruikten om toegang te behouden tijdens de inbraak in mei 2025, en vervolgens aan online accounts die volgens de aanklagers toebehoorden aan de 19-jarige Peter Stokes.
Stokes wordt beschuldigd van samenzwering, computerinbraak en fraude. Hij was een dubbele Amerikaans-Estse staatsburger, online bekend als ‘Bouquet’. Hij werd uitgeleverd door Finland en verscheen op 30 juni voor het eerst in de rechtbank in Chicago, zoals THN meldde. In afwachting van zijn proces wordt hij onschuldig geacht.
Hoe de inbraak werkte
Tussen 12 en 15 mei 2025 belden aanvallers de IT-helpdesk van de winkelier vanaf Google Voice-nummers, deden zich voor als buitengesloten werknemers en lieten het personeel de wachtwoorden van werknemers resetten en de mobiele apparaten die waren gekoppeld aan hun meervoudige authenticatie.
Binnen een paar uur hadden ze drie accounts onder controle, waarvan twee van IT-beheerders. Ze installeerden ngrok en een tweede tunnelingtool genaamd Teleport, verplaatsten gegevens naar de cloudopslag van Amazon en haalden er minstens 77 gigabyte uit.
Ze lijken geprobeerd ransomware te gebruiken, maar het beveiligingsteam van de retailer blokkeerde dit en zette ze uit het netwerk. De aanvallers stuurden nog steeds een e-mail met losgeld, met als onderwerpregel “BELANGRIJK: WE STOLE THE DATA, CONTACT UMMEDIATELY (sic)”, en vroegen later om $ 8 miljoen aan cryptocurrency. Het bedrijf betaalde niet. De inbreuk kostte het nog steeds ongeveer $ 2 miljoen aan verstoring, onderzoek en opruiming.
De toegang was via de helpdesk, niet via een softwarefout. De oplossing is een proces en geen patch: verifieer de identiteit vóór elke reset met terugbellen naar een nummer dat al bekend is, afmelding door de manager of videocontroles voor bevoorrechte accounts. Phishing-bestendige MFA zoals FIDO2-sleutels stompt de andere methoden van de groep af, maar doet niets als een helpdesk een account na een telefoongesprek opnieuw instelt.
Het identiteitsbewijs dat onderzoekers naar Stokes leidde
Onderzoekers werkten terug naar Stokes vanaf het apparaat waarmee het ngrok-account werd geopend. Microsoft vertelde de FBI dat het Global Device Identifier g:6755467234350028 bij zich had, wat Microsoft beschrijft als een persistente identifier die is gekoppeld aan een enkele Windows-installatie, een die updates van het besturingssysteem overleeft, maar verandert wanneer Windows opnieuw wordt geïnstalleerd.

Uit gegevens van Microsoft blijkt dat het apparaat de ngrok-aanmeldingspagina bezocht om 19:21 UTC op 12 mei 2025, dezelfde minuut waarop het ngrok-account werd aangemaakt, en ongeveer drie uur later via dezelfde proxy de website van de detailhandelaar bereikte.
Het apparaat bleef ook op dezelfde IP-adressen verschijnen, op dezelfde tijdstippen als de aanklagers van Snapchat, Apple en Facebook aan Stokes toeschrijven: een adres in zijn thuisstad Tallinn, Estland, in juni 2024, vervolgens in New York in november en Thailand in februari 2025, gekoppeld aan de reisgegevens van het ministerie van Buitenlandse Zaken.

De klacht toont een operator die de aanval verborg achter een VPN-proxy, tunnelingtools en aliassen, maar niet zichzelf. Aanklagers zeggen dat zijn Snapchat pronkte met contant geld, horloges en diamanten kettingen met de tekst ‘HACK THE PLANET’, samen met de reizen die hem naar die steden brachten. Hij plaatste zelfs foto’s van een Ests politiebureau en bespotte dat de FBI geen idee had wat ze hadden laten ontsnappen.
Eén arrestatie, en waarom dit de dreiging misschien niet afremt
Onderzoekers kunnen nu één enkele operator aan de machine koppelen die een aanval heeft opgezet. Maar één arrestatie raakt nauwelijks de bredere dreiging.
In afzonderlijk, recent onderzoek stelt Group-IB dat Scattered Spider helemaal niet echt één groep is. Het is een los collectief van kleine, onafhankelijke cellen, waarvan de meeste niet groter zijn dan vijf mensen, verbonden door gedeelde trucs, tools en chatrooms in plaats van door een gedeelde baas. Group-IB vergelijkt het met de Anonymous-beweging en zegt dat het arresteren van enkele van deze cellen “de dreiging zelf niet zal stoppen”.
Aanklagers beschrijven Scattered Spider als één groep achter meer dan 100 inbraken en meer dan $ 100 miljoen aan losgeld. Group-IB zegt dat het label beter bij een scène past dan bij een bende, en stelt dat de losse structuur de reden is dat de activiteit elke arrestatie overleeft.
Onderdeel van een langere reeks zaken
Andere recente vervolgingen tegen Scattered Spider volgen dezelfde vorm: individuen worden één voor één gearresteerd, terwijl het gedeelde draaiboek intact blijft. In april 2026 bekende de Schotse staatsburger Tyler Buchanan in de VS schuldig te zijn aan fraude en identiteitsdiefstal die verband hield met de groep.
In 2025 werd Noah Urban, bekend als “Sosa”, veroordeeld tot 10 jaar wegens een SIM-swapping-programma gekoppeld aan Scattered Spider. En in Groot-Brittannië hebben twee vermeende leden onlangs toegegeven dat ze de Transport for London-hack hebben gepleegd, die naar schatting £ 29 miljoen heeft gekost.
Toen de Finse politie Stokes op de luchthaven van Helsinki aanhield terwijl hij probeerde aan boord te gaan van een vlucht naar Japan, namen ze twee harde schijven van 2 terabyte in beslag. Deze hele zaak is opgebouwd uit dat soort materiaal: apparaatgegevens, accountkoppelingen en IP-sporen. In een netwerk dat zo diffuus is, kunnen de drijfveren belangrijker zijn dan de overtuiging, als ze over de middelen, de infrastructuur of de contacten beschikken die het volgende lid kunnen bereiken.