Il gruppo di cybercriminali conosciuto come Scattered LAPSUS$ Hunters ha attirato grande attenzione nel 2025 per una serie di attacchi informatici contro grandi aziende internazionali. Questa formazione, nata dalla fusione di gruppi come Scattered Spider, LAPSUS$ e ShinyHunters, ha utilizzato tecniche di social engineering come il voice phishing per ottenere accesso non autorizzato a sistemi aziendali, in particolare sfruttando applicazioni collegate ai portali Salesforce di diverse organizzazioni. Tra le vittime illustri figurano nomi come Toyota, FedEx, Disney/Hulu e UPS.

Il gruppo non si è limitato al furto di dati, ma ha introdotto portali di estorsione dove minacciava la pubblicazione di informazioni sensibili se non veniva pagato un riscatto. Un aspetto inquietante delle loro attività è stato il reclutamento di insider, ovvero dipendenti disposti a fornire accesso interno alle reti aziendali in cambio di una percentuale del riscatto. Questo approccio ha trovato riscontro anche quando un dipendente Crowdstrike è stato licenziato per aver condiviso informazioni riservate con il gruppo.

Ransomware e piattaforme criminali

Scattered LAPSUS$ Hunters è noto anche per l’utilizzo e la distribuzione di ransomware, inizialmente affidandosi a soluzioni di altri gruppi come ALPHV/BlackCat e DragonForce, per poi lanciare una propria piattaforma ransomware-as-a-service chiamata ShinySp1d3r. Il principale promotore di questa evoluzione è stato un membro noto come Rey, che ha avuto un ruolo amministrativo centrale sia nel gruppo sia in altre realtà criminali come Hellcat e BreachForums.

L’identità di Rey e le indagini

Attraverso una serie di errori di sicurezza operativa, l’identità reale di Rey è stata ricostruita e confermata. Rey, alias Saif Al-Din Khader, un giovane di Amman in Giordania, ha iniziato la propria attività criminale sotto diversi pseudonimi tra cui Hikki-Chan e o5tdev. Le sue tracce digitali, come l’utilizzo ricorrente di determinate password e indirizzi email, sono state fondamentali per ricondurlo alla sua vera identità.

Le indagini hanno evidenziato la sua appartenenza a Cyb3r Drag0nz Team, gruppo di hacktivisti noto per attacchi DDoS e data leak, e hanno permesso di scoprire altri dettagli sulla sua famiglia e residenza. Saif ha dichiarato di voler collaborare con le autorità e di essere in contatto con Europol, mostrando un desiderio di uscire dal mondo del cybercrime, pur ammettendo le difficoltà di abbandonare completamente tali attività.