La recente fusione tra i gruppi cybercriminali Scattered Spider, LAPSUS$ e ShinyHunters ha dato vita a una nuova e potente entità nel panorama della criminalità informatica: Scattered LAPSUS$ Hunters. Dal loro esordio nell’agosto 2025, questi attori hanno creato e ricreato almeno 16 canali Telegram, dimostrando una notevole resilienza contro la moderazione della piattaforma e una forte determinazione a mantenere una presenza pubblica visibile.

Extortion-as-a-Service e federazione criminale

La caratteristica distintiva di questo collettivo è l’offerta di un vero e proprio servizio di estorsione (extortion-as-a-service), dove altri affiliati possono unirsi per sfruttare il marchio e la notorietà del gruppo in cambio di una quota sulle estorsioni ai danni delle vittime, spesso aziende di primo piano, compresi utenti Salesforce. Il gruppo si inserisce nel contesto più ampio di una federazione criminale conosciuta come The Com, rinomata per la collaborazione fluida e la condivisione di brand tra diversi cluster criminali come CryptoChameleon e Crimson Collective.

Telegram come centro operativo

Telegram si conferma il fulcro operativo di Scattered LAPSUS$ Hunters, utilizzato sia per coordinare le azioni che per diffondere messaggi e promuovere i propri servizi. Gli amministratori del canale hanno adottato etichette come “SLH Operations Centre”, a sottolineare un’immagine di struttura organizzata e legittima, nonostante la natura frammentata delle comunicazioni.

Campagne di pressione e affiliati

I membri del gruppo hanno anche coinvolto la propria community in campagne di pressione mirate contro dirigenti aziendali, incentivando la raccolta degli indirizzi email dei C-level in cambio di compensi. Tra i cluster affiliati spiccano nomi come Shinycorp, UNC5537, UNC3944 e UNC6040, oltre a figure tecniche specializzate nello sviluppo di exploit e nell’accesso iniziale alle reti bersaglio.

Innovazione nelle minacce: il ransomware Sh1nySp1d3r

Non manca l’innovazione nell’ambito delle minacce: il collettivo ha annunciato lo sviluppo di una famiglia di ransomware personalizzata, Sh1nySp1d3r, che mira a rivaleggiare con i noti LockBit e DragonForce, segno di una possibile espansione verso operazioni di ransomware su vasta scala.

Sofisticazione e cartellizzazione

La strategia di Scattered LAPSUS$ Hunters combina ingegneria sociale, sviluppo di exploit e una sofisticata gestione dell’identità digitale, dimostrando una consapevolezza avanzata di come la reputazione e la percezione possano essere usate come armi all’interno dell’ecosistema cybercriminale. Il fenomeno della “cartellizzazione” prosegue anche tra altri gruppi come DragonForce, Qilin e LockBit, che condividono infrastrutture e tecniche per abbassare le barriere tecniche e aumentare l’efficacia degli attacchi, rendendo sempre più sfumati i confini tra criminalità finanziaria e hacktivismo.