Negli ultimi mesi, il panorama della criminalità informatica ha visto una pericolosa alleanza tra due dei gruppi hacker più noti: ShinyHunters e Scattered Spider. Queste organizzazioni, già famose per le loro attività di furto di dati e attacchi di estorsione, stanno ora collaborando in campagne di phishing e social engineering altamente mirate, prendendo di mira soprattutto le aziende che utilizzano Salesforce e, in prospettiva, il settore dei servizi finanziari e tecnologici.

ShinyHunters, attivo dal 2020, ha realizzato una lunga serie di violazioni di dati contro grandi aziende, monetizzando le informazioni sottratte tramite forum criminali noti come BreachForums e RaidForums. Recentemente, il gruppo ha cambiato tattica, passando dal semplice furto di credenziali a sofisticate strategie di phishing che replicano i metodi di Scattered Spider. Tra queste, spiccano l’uso di attacchi vishing (voice phishing), la creazione di pagine di phishing a tema Okta e l’utilizzo di VPN per mascherare le attività di esfiltrazione dati.

Scattered Spider, dal canto suo, è noto per la capacità di sfruttare infrastrutture di phishing avanzate che imitano sistemi di autenticazione single sign-on (SSO), come quelle di Okta, riuscendo così a carpire le credenziali delle vittime. L’analisi di oltre 700 domini, registrati nel 2025 e riconducibili a schemi di phishing tipici di Scattered Spider, ha rivelato un incremento del 12% dei domini rivolti a società finanziarie, mentre quelli diretti a realtà tecnologiche sono diminuiti del 5%. Questo suggerisce che banche, assicurazioni e servizi finanziari saranno probabilmente i prossimi bersagli principali di queste campagne criminali.

L’evidenza di una vera collaborazione tra ShinyHunters e Scattered Spider è rafforzata dal fatto che entrambi i gruppi hanno colpito gli stessi settori, come retail, assicurazioni e aviazione, nello stesso arco temporale. Inoltre, la presenza di utenti con alias come “Sp1d3rHunters” su BreachForums e la sovrapposizione nelle registrazioni dei domini rafforzano la tesi di una cooperazione o, quanto meno, di una forte sinergia operativa tra i gruppi.

Parallelamente, su Telegram sono emersi canali che uniscono le identità di ShinyHunters, Scattered Spider e LAPSUS$, con l’intenzione di sviluppare nuove piattaforme di ransomware-as-a-service, come ShinySp1d3r, in grado di competere con LockBit e DragonForce. Nonostante recenti arresti da parte delle autorità francesi, le attività criminali sembrano proseguire, con avvisi su possibili honeypot creati dalle forze dell’ordine per attirare altri hacker.