サイバー犯罪グループの新たな脅威:Scattered LAPSUS$ Hunters
サイバー犯罪のアンダーグラウンドにおいて、悪名高い3つの脅威アクター「Scattered Spider」、「ShinyHunters」、「LAPSUS$」が正式に提携し、「Scattered LAPSUS$ Hunters(SLH)」を結成しました。この連合は2025年8月初旬に発足し、従来の単独作戦から脱却した、洗練された脅威モデルを提示しています。彼らは、法執行機関の圧力やプラットフォームの監視にもかかわらず、その存在感と収益を維持するために、確立されたグループの評判と洗練された運用構造を組み合わせています。
SLHは主にTelegramを通じて活動しており、この暗号化された通信プラットフォームを単なる調整ツールとしてだけでなく、運用能力、侵害発表、被害者搾取を最大限の心理的影響のために慎重に調整する「パフォーマンスマーケティングチャネル」として活用しています。このソーシャルパフォーマンスの戦略的な利用は、従来の金銭目的のサイバー犯罪と結びつき、Salesforceなどの高価値企業やSaaSプロバイダーを標的とした、注目を集める劇場型と計算された恐喝戦術を融合させた独自の運用空間にSLHを位置づけています。
戦略的統合と戦術的出現
SLHの結成は、サイバー犯罪市場における大きな混乱と時期を同じくしています。データ漏洩の配布と脅威アクターの募集の中心地であったBreachForumsの崩壊は、運用上の空白を生み出しました。SLHはこの空白を戦略的に埋め、断片化したオーディエンスを吸収し、解体された集団の評判資産を再パッケージ化しました。
グループの最初の検証済みTelegramチャンネルは2025年8月8日に登場し、すぐに「The Com」ネットワークとの統合を示しました。これは、緩やかに提携するオペレーター間の流動的な協力とブランド共有を特徴とする非公式なサイバー犯罪エコシステムです。SLHのTelegramプレゼンスは、設立以来少なくとも16回のプラットフォームサイクルを経ており、チャンネルは「scattered LAPSUS$ hunters 7.0」など、進化する名称で繰り返し削除され、再作成されています。この適応力は、組織の成熟度と調整された運用規律を示唆しており、個々のアイデンティティが断片化しているにもかかわらず、主要な運用上の意思決定は集中化され、戦略的に一貫していることを示しています。
証拠によると、5人未満の個人が主要な運用を推進しており、「shinycorp」(@sp1d3rhuntersおよび@shinyc0rpなどのエイリアスで活動)が主要なオーケストレーターとして機能し、「Alg0d」、「yuka」、「UNC5537」などの補助的なペルソナがリーチと運用範囲を拡大しています。
SLHを際立たせる技術的洗練
SLHが日和見的なサイバー犯罪スタートアップと異なる点は、その実証された技術的洗練度です。これには、エクスプロイト開発、脆弱性ブローカー、および標的型永続化メカニズムが含まれます。この集団は、特にクラウドインフラストラクチャ、SaaSプラットフォーム、およびデータベースシステムを標的とする専門知識を示しています。彼らは、主にAI自動化されたビッシングおよびスピアフィッシングキャンペーンを通じて認証情報を収集し、その後に迅速なラテラルムーブメント、特権昇格、およびデータ流出を行います。
特に、ペルソナ「yuka」(YukariまたはCvspとしても知られる)は、BlackLotus UEFIブートキットやMedusaルートキットを含む歴史的な関連性を持つ、信頼できるエクスプロイト開発能力をもたらしています。「Yukari/Cvsp」に帰属するGitHubリポジトリページには、BlackLotusとラベル付けされたプロジェクトが示されています。SLHと複数のゼロデイエクスプロイト(以前Cl0pランサムウェアオペレーターによって悪用されたCVE-2025-61882(Oracle E-Business Suite)を含む)との関連付けは、コードの直接的な漏洩、エクスプロイト共有の取り決め、または集団的な運用影響を強化する洗練された脆弱性ブローカーネットワークのいずれかを示唆しています。
将来への影響
従来のデータ窃盗を超えて、SLHは正式にExtortion-as-a-Service(EaaS)モデルを表明し、市場での位置付けを公式化し、アフィリエイトの募集を可能にしています。SLHはまた、CRM、DBMS、およびSaaSプラットフォームを具体的に標的とするゼロデイ研究に似たツールを含む、非自明なエクスプロイト開発および取得能力も示しています。チャンネル内で流通しているコードスニペットまたはエクスプロイトの概念実証は、CVE-2025-31324を標的としていると主張しています。
グループのTelegramチャンネルは、圧力キャンペーン、ドクシング作戦、および標的型ハラスメントのために、運用顧客とフリーランスの参加者の両方を積極的に募集しており、運用上の複雑さを曖昧にし、帰属を拡散するクラウドソーシング型恐喝モデルを導入しています。SLHが2026年を通じてその地位を固めるにつれて、洗練された技術的能力と劇場型ブランド管理を組み合わせたハイブリッド運用モデルは、「The Com」エコシステム内で同様の統合努力を刺激し、組織化されたサイバー犯罪活動の軌跡を、技術的熟練と同等の戦略的資産として、物語の制御、運用の回復力、およびオーディエンスエンゲージメントを優先する形で形成する可能性が高いでしょう。