Il gruppo cybercriminale noto come Scattered LAPSUS$ Hunters (SLSH) ha dominato le cronache del 2025 per una serie di attacchi informatici e campagne di estorsione rivolte a grandi aziende internazionali. Questo collettivo è il risultato della fusione di tre gruppi distinti: Scattered Spider, LAPSUS$ e ShinyHunters, attivi in comunità cybercriminali prevalentemente anglofone su Telegram e Discord.

La campagna di social engineering e il furto di dati

A maggio 2025, SLSH ha messo in atto una sofisticata campagna di social engineering utilizzando il voice phishing per indurre dipendenti aziendali a collegare applicazioni malevole ai portali Salesforce delle organizzazioni, riuscendo così a sottrarre dati sensibili da numerose aziende come Toyota, FedEx, Disney/Hulu e UPS. Successivamente, SLSH ha lanciato un portale di data leak minacciando di pubblicare i dati interni di queste aziende se non fossero stati pagati riscatti.

Il reclutamento di insider

Un aspetto particolarmente inquietante delle loro attività riguarda il reclutamento di insider. Il canale Telegram di SLSH ha pubblicamente offerto ricompense a dipendenti disposti a fornire accesso interno alle reti aziendali, promettendo loro una percentuale dei riscatti ottenuti. Questo modus operandi ha attirato l’attenzione quando la società di cybersecurity Crowdstrike ha licenziato un dipendente sospettato di aver condiviso screenshot riservati con SLSH.

Ransomware-as-a-service e l’identità di Rey

Il gruppo ha utilizzato malware di altri gruppi ransomware come ALPHV/BlackCat, Qilin e RansomHub, ma recentemente ha lanciato un proprio servizio ransomware-as-a-service chiamato ShinySp1d3r. Il principale responsabile di questa nuova piattaforma è un giovane hacker noto come Rey, uno dei tre amministratori del canale Telegram SLSH e già coinvolto in precedenza nella gestione del sito di data leak di Hellcat, responsabile di attacchi a Schneider Electric, Telefonica e Orange Romania.

Attraverso una serie di errori di sicurezza operativa, la vera identità di Rey è stata scoperta: si tratta di Saif Al-Din Khader, un ragazzo di Amman, Giordania, con legami famigliari in Irlanda. Saif, conosciuto anche come Hikki-Chan e o5tdev, ha lasciato numerose tracce digitali, incluse email e dati personali esposti tramite infostealer. Egli stesso ha confermato di voler uscire dall’ambiente cybercriminale, collaborando con le forze dell’ordine europee e dichiarando di non aver più preso parte ad attività di estorsione dal settembre 2025.

La storia di Rey/Saif evidenzia come anche i più abili operatori possano commettere errori che portano alla loro identificazione e sottolinea l’importanza della sicurezza operativa nel mondo del cybercrime.