Một liên minh tội phạm mạng gồm các nhóm LAPSUS$, Scattered Spider và ShinyHunters đang thực hiện các cuộc tấn công tinh vi, khai thác triệt để kỹ thuật xã hội để xâm nhập vào các tổ chức nằm trong danh sách Fortune 100 và các cơ quan chính phủ. Sự hợp tác này tạo ra một mối đe dọa mạng đáng kể, làm mờ ranh giới giữa các nhóm và tăng cường khả năng tấn công của chúng.
Tổng Quan Về Liên Minh Tội Phạm Mạng LAPSUS$, Scattered Spider và ShinyHunters
Sự Hợp Nhất Các Nhóm Nguy Hiểm
Các nhóm LAPSUS$, Scattered Spider và ShinyHunters, nổi tiếng trong giới tội phạm mạng nói tiếng Anh, đã gia tăng sự chồng chéo trong chiến thuật, thành viên và các kênh công khai. Từ năm 2023 đến 2025, các bằng chứng rõ ràng cho thấy sự hợp tác trực tiếp trong các vụ xâm nhập quy mô lớn và nỗ lực phối hợp để tiếp thị một dịch vụ Ransomware-as-a-Service (RaaS) kết hợp.
Vào tháng 8 năm 2025, các nhà nghiên cứu an ninh mạng đã phát hiện một kênh Telegram thống nhất Scattered Spider, LAPSUS$ và ShinyHunters dưới thương hiệu “shinysp1d3r”. Kênh này được sử dụng để phối hợp các mối đe dọa, hé lộ thông tin rò rỉ và bán gói đăng ký RaaS.
Tác Động Đến Các Tổ Chức Lớn
Sự hợp nhất này đánh dấu một mô hình mới trong tội phạm mạng: các nhóm thanh thiếu niên liên kết lỏng lẻo đang tận dụng kỹ thuật xã hội, các cấu hình đám mây sai sót và các kênh công khai để đạt được tác động tối đa. Các hoạt động của chúng được khuếch đại thông qua các kênh như “The Comm Leaks”, nơi các thành viên chia sẻ thông tin về các vụ vi phạm, thông báo rò rỉ và lời kêu gọi tuyển dụng.
Chiến Thuật Vận Hành và Các Kênh Phối Hợp
Kênh Telegram “shinysp1d3r” và Vai Trò
Kênh Telegram “shinysp1d3r” là một nền tảng trung tâm cho liên minh này. Nó cho phép các nhóm tội phạm mạng này hợp tác một cách hiệu quả, chia sẻ thông tin tình báo về mục tiêu và phân công vai trò trong các chiến dịch tấn công. Kênh này đóng vai trò quan trọng trong việc quảng bá các dịch vụ RaaS và thông báo về các vụ rò rỉ dữ liệu sắp tới.
Hoạt động công khai của kênh này cũng là một hình thức phô trương sức mạnh và thu hút thêm thành viên hoặc khách hàng tiềm năng cho dịch vụ Ransomware-as-a-Service của chúng.
Phân Công Nhiệm Vụ Trong Các Chiến Dịch
Trong các chiến dịch hợp tác, ShinyHunters thừa nhận rằng Scattered Spider thường cung cấp quyền truy cập ban đầu vào mạng. Sau đó, các thành viên của ShinyHunters sẽ xử lý việc trích xuất dữ liệu hàng loạt. Các thành viên của LAPSUS$ cũng tham gia, cùng nhau nhắm mục tiêu vào các nền tảng lớn như Salesforce và Snowflake.
Sự phân công nhiệm vụ này cho phép liên minh tận dụng tối đa chuyên môn của từng nhóm, từ giai đoạn xâm nhập ban đầu cho đến khi đạt được mục tiêu cuối cùng là đánh cắp và tống tiền dữ liệu. Điều này làm cho các cuộc tấn công trở nên có tổ chức và hiệu quả hơn.
Mục Tiêu Chính và Cảnh Báo Từ FBI
Các mục tiêu của liên minh này bao gồm các nền tảng đám mây quan trọng và các tổ chức lớn. Cụ thể, các báo cáo đã ghi nhận các vụ tấn công nhắm vào Salesforce và Snowflake, cho thấy khả năng khai thác các điểm yếu trong môi trường đám mây.
Vào ngày 12 tháng 9, FBI đã ban hành cảnh báo FLASH về các nhóm UNC6040 và UNC6395, được liên kết với các liên minh này. Các nhóm này bị cảnh báo vì đã khai thác môi trường Salesforce để đánh cắp các bản ghi nhạy cảm. Nhiều nạn nhân Fortune 100 đã báo cáo nhận được email tống tiền được ký bởi ShinyHunters, xác nhận các cuộc tấn công phối hợp của bộ ba này. Thông tin chi tiết có thể được tham khảo tại: Resecurity: Trinity of Chaos.
Đặc Điểm Của “The Com” và Mô Hình Mối Đe Dọa Mới
Mô Hình Hoạt Động Linh Hoạt
LAPSUS$, Scattered Spider và ShinyHunters là một phần của “The Com”, một phong trào tội phạm mạng do giới trẻ điều khiển, chủ yếu nói tiếng Anh. Các tác nhân này di chuyển liền mạch giữa các nhóm, làm phức tạp việc phân loại và duy trì một môi trường mối đe dọa mạng có tính thích ứng và linh hoạt cao.
Sự “nghỉ hưu” công khai của một số nhóm có thể chỉ là một chiến thuật tạm dừng, cho phép chúng tiếp tục hoạt động tống tiền riêng tư và đổi thương hiệu trong tương lai để tránh sự chú ý. Các nhóm này có khả năng phân tách và tái hợp một cách linh hoạt, cho phép thanh thiếu niên và người trẻ tuổi tập hợp tài nguyên, ý tưởng và kiến thức kỹ thuật.
Chủ Nghĩa Tấn Công Dựa Trên Kỹ Thuật Xã Hội
Các nhà phân tích bảo mật đã gọi liên minh này là một “nhóm siêu tội phạm mạng”, nhận thấy sự hợp nhất tài năng và cơ sở hạ tầng giữa ba phe phái. Các cuộc tấn công thường bắt đầu bằng kỹ thuật xã hội, nhắm vào yếu tố con người trong hệ thống phòng thủ của các tổ chức.
Việc chiếm đoạt thông tin đăng nhập, lợi dụng sự thiếu cảnh giác của nhân viên hoặc khai thác các quy trình hỗ trợ người dùng yếu kém là những phương pháp phổ biến. Điều này làm cho việc phòng thủ trở nên khó khăn hơn, vì các công nghệ bảo mật truyền thống có thể không hiệu quả trước các cuộc tấn công này.
Trước đây, nhóm hacker này đã đề cập đến AT&T và phát hành một ảnh chụp màn hình được cho là cho thấy quyền truy cập vào bảng điều khiển quản lý RSA Token / VPN, minh chứng cho khả năng xâm nhập mạng vào các hệ thống quan trọng.
Các Chỉ Số Thỏa Hiệp (IOCs)
Dưới đây là các chỉ số thỏa hiệp liên quan đến liên minh tội phạm mạng này, giúp các tổ chức nhận diện và phòng ngừa:
- Tên nhóm tội phạm mạng:
- LAPSUS$
- Scattered Spider
- ShinyHunters
- UNC6040 (liên kết với liên minh)
- UNC6395 (liên kết với liên minh)
- Kênh phối hợp:
- Kênh Telegram: “shinysp1d3r”
- Kênh công khai: “The Comm Leaks”
- Mục tiêu được biết đến:
- Salesforce
- Snowflake
- AT&T
Khuyến Nghị Bảo Mật và Biện Pháp Phòng Ngừa
Tăng Cường Phòng Thủ Chủ Động
Để đối phó với những kẻ thù nhanh nhẹn, dựa trên kỹ thuật xã hội này, các tổ chức phải tăng cường hệ thống phòng thủ tập trung vào con người. Điều này bao gồm áp dụng các chính sách xác thực đa yếu tố (MFA) nghiêm ngặt, quy trình xác minh hỗ trợ người dùng mạnh mẽ và đào tạo liên tục về nhận thức về lừa đảo (phishing).
Việc triển khai MFA trên mọi tài khoản, đặc biệt là các tài khoản có đặc quyền, là một rào cản quan trọng chống lại việc chiếm đoạt thông tin đăng nhập. Quy trình xác minh cho bộ phận hỗ trợ kỹ thuật cần phải được thiết kế để chống lại các nỗ lực giả mạo danh tính, thường là điểm yếu mà kỹ thuật xã hội khai thác.
Đào tạo nhận thức về an ninh cho nhân viên không chỉ là bắt buộc mà còn phải được thực hiện định kỳ, cập nhật các kỹ thuật tấn công mới nhất. Các tổ chức cần mô phỏng các cuộc tấn công lừa đảo để kiểm tra khả năng phản ứng của nhân viên và củng cố kiến thức bảo mật mạng.
Chia Sẻ Thông Tin Mối Đe Dọa và Ứng Phó Sự Cố
Việc liên tục chia sẻ thông tin tình báo về mối đe dọa mạng và hợp tác chủ động trong ứng phó sự cố vẫn là yếu tố then chốt để đi trước một bước so với nhóm siêu tội phạm mạng đang phát triển này. Các tổ chức cần tham gia vào các cộng đồng chia sẻ thông tin (ISACs/ISAOs) và theo dõi các báo cáo tình báo từ các nguồn đáng tin cậy.
Phản ứng nhanh chóng và phối hợp khi xảy ra sự cố có thể giảm thiểu thiệt hại và ngăn chặn các cuộc tấn công tương lai. Điều này bao gồm việc có một kế hoạch ứng phó sự cố rõ ràng, được kiểm thử thường xuyên, và một đội ngũ có khả năng phân tích và xử lý các sự cố bảo mật phức tạp.
