Hai nhóm tội phạm mạng khét tiếng ShinyHunters và Scattered Spider dường như đang bắt tay nhau trong các cuộc tấn công tống tiền nhắm vào các doanh nghiệp. Theo báo cáo mới nhất, chiến dịch tống tiền dữ liệu đang diễn ra, nhắm mục tiêu vào khách hàng của Salesforce, có thể sớm chuyển sự chú ý sang các nhà cung cấp dịch vụ tài chính và công nghệ.

ReliaQuest cho biết làn sóng tấn công mới nhất do ShinyHunters thực hiện cho thấy một sự thay đổi đáng kể trong chiến thuật. Nhóm này không còn chỉ tập trung vào việc đánh cắp thông tin đăng nhập và khai thác cơ sở dữ liệu như trước đây.

Thay vào đó, chúng áp dụng các chiến thuật tương tự như Scattered Spider, bao gồm:

• Vishing (tấn công bằng giọng nói): Kẻ gian giả mạo người đáng tin cậy để lừa nạn nhân cung cấp thông tin cá nhân.
• Tấn công kỹ nghệ xã hội: Lợi dụng tâm lý con người để lừa đảo, khai thác thông tin.
• Ngụy trang ứng dụng: Sử dụng các ứng dụng giả mạo trông giống như công cụ hợp pháp.
• Trang web giả mạo Okta: Tạo các trang web giống hệt trang đăng nhập Okta để đánh cắp thông tin đăng nhập của nạn nhân.
• VPN để che giấu: Sử dụng mạng riêng ảo (VPN) để che giấu dấu vết khi đánh cắp dữ liệu.

ShinyHunters nổi lên từ năm 2020, là một nhóm tội phạm mạng có động cơ tài chính. Chúng đã thực hiện hàng loạt vụ đánh cắp dữ liệu nhắm vào các tập đoàn lớn và kiếm tiền từ chúng trên các diễn đàn tội phạm mạng như RaidForums và BreachForums. Điều thú vị là ShinyHunters đóng vai trò quan trọng trong các nền tảng này, vừa là người đóng góp vừa là quản trị viên.

Sophos lưu ý rằng ShinyHunters đã hợp tác với Baphomet để khởi động lại BreachForums (v2) vào tháng 6 năm 2023 và sau đó tự mình ra mắt phiên bản tháng 6 năm 2025 (v4). Phiên bản giữa (v3) đột ngột biến mất vào tháng 4 năm 2025, và nguyên nhân vẫn chưa rõ.

Mặc dù việc khởi động lại diễn đàn chỉ tồn tại trong thời gian ngắn và bảng tin đã ngừng hoạt động vào khoảng ngày 9 tháng 6, nhưng nhóm này kể từ đó đã bị liên kết với các cuộc tấn công nhắm vào các trường hợp Salesforce trên toàn cầu, một loạt các hoạt động liên quan đến tống tiền mà Google đang theo dõi dưới tên UNC6240.

Cùng với những diễn biến này là việc cảnh sát Pháp bắt giữ bốn cá nhân bị nghi ngờ điều hành BreachForums, bao gồm cả ShinyHunters. Tuy nhiên, nhóm này nói với DataBreaches.Net rằng Pháp đã vội vàng thực hiện các vụ bắt giữ SAI SỰ THẬT, KHÔNG CHÍNH XÁC, làm dấy lên khả năng một thành viên CỘNG SỰ có thể đã bị bắt.

Và đó không phải là tất cả. Vào ngày 8 tháng 8, một kênh Telegram mới xuất hiện, trộn lẫn ShinyHunters, Scattered Spider và LAPSUS$, với tên gọi scattered lapsu$ hunters. Các thành viên kênh cũng tuyên bố đang phát triển một giải pháp ransomware-as-a-service có tên ShinySp1d3r mà họ cho biết sẽ cạnh tranh với LockBit và DragonForce. Ba ngày sau, kênh này biến mất.

Cả Scattered Spider và LAPSUS$ đều có mối liên hệ với một tập thể rộng lớn hơn, mơ hồ hơn có tên là The Com, một mạng lưới tội phạm mạng опытный nói tiếng Anh khét tiếng, tham gia vào nhiều hoạt động độc hại, bao gồm hoán đổi SIM, tống tiền và tội phạm vật chất.

ReliaQuest cho biết họ đã xác định được một tập hợp phối hợp các tên miền lừa đảo theo chủ đề vé và các trang thu thập thông tin đăng nhập Salesforce có khả năng được tạo ra cho các chiến dịch tương tự nhắm vào Salesforce, nhắm vào các công ty nổi tiếng trong nhiều ngành dọc khác nhau.

Các tên miền này, công ty cho biết, được đăng ký bằng cách sử dụng cơ sở hạ tầng thường liên quan đến bộ công cụ lừa đảo thường được sử dụng để lưu trữ các trang đăng nhập một lần (SSO) – một dấu hiệu của các cuộc tấn công của Scattered Spider mạo danh các trang đăng nhập Okta.

Hơn nữa, một phân tích về hơn 700 tên miền được đăng ký vào năm 2025 phù hợp với các mẫu lừa đảo của Scattered Spider đã tiết lộ rằng việc đăng ký tên miền nhắm vào các công ty tài chính đã tăng 12% kể từ tháng 7 năm 2025, trong khi việc nhắm mục tiêu vào các công ty công nghệ đã giảm 5%, cho thấy rằng các ngân hàng, công ty bảo hiểm và dịch vụ tài chính có thể là những đối tượng tiếp theo.

Ngoài những điểm tương đồng về chiến thuật, việc hai nhóm có thể đang hợp tác được chứng minh bằng thực tế là họ đã nhắm mục tiêu vào cùng một lĩnh vực (tức là bán lẻ, bảo hiểm và hàng không) vào cùng một thời điểm.

Các nhà nghiên cứu Kimberley Bromley và Ivan Righi cho biết: Bằng chứng hỗ trợ cho giả thuyết này là sự xuất hiện của một người dùng BreachForums với bí danh Sp1d3rHunters, người có liên quan đến một vụ vi phạm ShinyHunters trong quá khứ, cũng như các mẫu đăng ký tên miền trùng lặp, đồng thời cho biết thêm rằng tài khoản này được tạo vào tháng 5 năm 2024.

Nếu những kết nối này là hợp pháp, chúng cho thấy sự hợp tác hoặc chồng chéo giữa ShinyHunters và Scattered Spider có thể đã diễn ra trong hơn một năm. Thời gian đồng bộ và mục tiêu tương tự của các cuộc tấn công trước đó này ủng hộ mạnh mẽ khả năng phối hợp các nỗ lực giữa hai nhóm.

Giải thích thuật ngữ:

• Vishing: Hình thức tấn công lừa đảo sử dụng điện thoại hoặc tin nhắn thoại để dụ dỗ nạn nhân cung cấp thông tin cá nhân.
• Kỹ nghệ xã hội: Phương pháp tấn công dựa trên việc lợi dụng tâm lý con người để đánh lừa và khai thác thông tin.
• Ransomware-as-a-service (RaaS): Mô hình kinh doanh cho phép tội phạm mạng thuê hoặc mua ransomware để thực hiện các cuộc tấn công.
• VPN: Mạng riêng ảo, giúp che giấu địa chỉ IP và mã hóa lưu lượng truy cập internet, tăng cường tính riêng tư và bảo mật.
• SSO: Đăng nhập một lần, cho phép người dùng truy cập nhiều ứng dụng và dịch vụ chỉ với một bộ thông tin đăng nhập.