Önde gelen üç siber suç grubunu (Scattered Spider, LAPSUS$ ve ShinyHunters) bir araya getiren yeni oluşan kolektif, 8 Ağustos 2025’ten bu yana en az 16 Telegram kanalı oluşturdu.
LevelBlue şirketi Trustwave SpiderLabs, The Hacker News ile paylaştığı bir raporda şunları söyledi: “İlk çıkışından bu yana, grubun Telegram kanalları kaldırıldı ve orijinal ismin değişen yinelemeleri altında en az 16 kez yeniden oluşturuldu; bu, platformun denetlenmesini ve operatörlerin kesintiye rağmen bu özel kamusal varlığı sürdürme kararlılığını yansıtan yinelenen bir döngü.”
Dağınık LAPSUS$ Avcıları (SLH), Ağustos başında ortaya çıktı ve son aylarda Salesforce kullananlar da dahil olmak üzere kuruluşlara karşı veri gaspı saldırıları başlattı. Sundukları arasında en önemlisi, diğer iştiraklerin, konsolide kuruluşun “markasını” ve kötü şöhretini kullanma karşılığında hedeflerden ödeme talep etmek için katılabileceği bir hizmet olarak gasp (EaaS)’dır.
Her üç grubun da The Com olarak adlandırılan ve “akıcı işbirliği ve marka paylaşımı” ile öne çıkan, gevşek örgülü ve federe bir siber suç örgütüne bağlı olduğu değerlendiriliyor. Tehdit aktörleri o zamandan beri CryptoChameleon ve Crimson Collective olarak takip edilen diğer komşu kümelerle ilişkilerini sergilediler.
Siber güvenlik sağlayıcısına göre Telegram, hacktivist gruplara benzer bir tarzı benimseyerek, üyelerinin grubun operasyonlarını koordine etmesi ve görünürlük sağlaması için merkezi bir yer olmaya devam ediyor. Bu, birden fazla amaca hizmet ediyor: Tehdit aktörlerinin mesajlarını yaymaları ve hizmetlerini pazarlamaları için kanallarını bir megafona dönüştürmek.
Trustwave, “Faaliyet olgunlaştıkça, idari makamlar, normalde parçalanmış iletişimlere bürokratik meşruiyet kazandıran organize bir komuta yapısının imajını yansıtan sembolik ağırlık taşıyan, kendi kendine uygulanan bir etiket olan ‘SLH/SLSH Operasyon Merkezi’ne” atıfta bulunan imzaları içermeye başladı.” dedi.
 |
| Gözlemlenen Telegram kanalları ve etkinlik dönemleri |
Grubun üyeleri ayrıca Telegram’ı kullanarak Çinli devlet aktörlerini, kendileri tarafından hedef alındığı iddia edilen güvenlik açıklarından yararlanırken aynı zamanda ABD ve İngiltere kolluk kuvvetlerini hedef almakla suçladı. Dahası, üst düzey yöneticilerin e-posta adreslerini bularak ve minimum 100 ABD doları tutarında bir ödeme karşılığında onlara aralıksız e-posta göndererek kanal abonelerini baskı kampanyalarına katılmaya davet ettikleri ortaya çıktı.
Mürettebatın bir parçası olduğu bilinen tehdit kümelerinden bazıları aşağıda listelenmiştir; bu, Com ağı içindeki birkaç yarı özerk grubu ve bunların teknik yeteneklerini tek bir şemsiye altında bir araya getiren uyumlu bir ittifakın altını çizmektedir:
- Koordinatör olarak hareket eden ve marka algısını yöneten Shinycorp (diğer adıyla sp1d3rhunters)
- UNC5537 (Kar Tanesi gasp kampanyasıyla bağlantılı)
- UNC3944 (Dağınık Örümcek ile ilişkili)
- UNC6040 (son Salesforce ziyaret kampanyasıyla bağlantılı)
Grubun bir parçası ayrıca, katılımı sürdürmekten sorumlu olan Rey ve SLSHsupport gibi kimliklerin yanı sıra, açıklardan yararlanma geçmişi olan ve kendilerini bir ilk erişim komisyoncusu (IAB) olarak sunan yuka (aka Yukari veya Cvsp) da içeriyor.
 |
| Birleştirilmiş idari ve bağlı kişiler |
Veri hırsızlığı ve gasp, Dağınık LAPSUS$ Avcılarının temel dayanağı olmaya devam ederken, tehdit aktörleri Sh1nySp1d3r (diğer adıyla ShinySp1d3r) adlı özel bir fidye yazılımı ailesinin LockBit ve DragonForce’a rakip olacağını ima ederek gelecekte olası fidye yazılımı operasyonlarını akla getiriyor.
Trustwave, tehdit aktörlerini finansal motivasyonlu siber suçlar ve dikkat odaklı hacktivizm yelpazesinde bir yerde konumlanmış, faaliyetlerini desteklemek için parasal teşvikler ve sosyal doğrulamayı bir araya getiren kişiler olarak nitelendirdi.
“Tiyatral markalama, itibarın geri dönüşümü, platformlar arası güçlendirme ve katmanlı kimlik yönetimi sayesinde SLH’nin arkasındaki aktörler, siber suç ekosisteminde algı ve meşruluğun nasıl silah haline getirilebileceğine dair olgun bir kavrayış sergilediler” diye ekledi.
“Birlikte ele alındığında, bu davranışlar sosyal mühendisliği, istismar geliştirmeyi ve anlatı savaşını birleştiren operasyonel bir yapıyı göstermektedir; bu, fırsatçı yeni gelenlerden ziyade yerleşik yeraltı aktörlerinin daha karakteristik bir karışımıdır.”
Başka Türden Kartelleşme
Açıklama, Acronis’in, DragonForce’un arkasındaki tehdit aktörlerinin, kendi savunmasız sürücünüzü getir (BYOVD) saldırısının bir parçası olarak güvenlik yazılımını devre dışı bırakmak ve korunan süreçleri sonlandırmak için truesight.sys ve rentdrv2.sys (BadRentdrv2’nin parçası) gibi savunmasız sürücüleri kullanan yeni bir kötü amaçlı yazılım çeşidini açığa çıkardığını açıklamasının ardından geldi.
Bu yılın başlarında bir fidye yazılımı karteli başlatan DragonForce, o zamandan beri “tekniklerin, kaynakların ve altyapının paylaşımını kolaylaştırmak” ve kendi bireysel yeteneklerini desteklemek amacıyla Qilin ve LockBit ile de ortaklık kurdu.
Acronis araştırmacıları, “Bağlı kuruluşlar DragonForce’un altyapısını kullanırken ve kendi markaları altında çalışırken kendi kötü amaçlı yazılımlarını dağıtabilirler” dedi. “Bu, teknik engeli azaltıyor ve hem yerleşik grupların hem de yeni aktörlerin, tam bir fidye yazılımı ekosistemi oluşturmadan operasyonlarını yürütmesine olanak tanıyor.”
Singapur merkezli şirkete göre fidye yazılımı grubu, Scattered Spider ile uyumlu; Scattered Spider, spear-phishing ve vishing gibi karmaşık sosyal mühendislik teknikleri yoluyla ilgilenilen hedeflere sızmak için bir bağlı kuruluş olarak çalışıyor ve ardından DragonForce’u bırakmadan önce kapsamlı keşif gerçekleştirmek için ScreenConnect, AnyDesk, TeamViewer ve Splashtop gibi uzaktan erişim araçlarını kullanıyor.
“DragonForce, Conti’nin sızdırdığı kaynak kodunu kendi işaretini taşıyacak karanlık bir halef oluşturmak için kullandı” dedi. “Diğer gruplar koda farklı bir yön vermek için bazı değişiklikler yaparken, DragonForce tüm işlevselliği değiştirmeden tuttu; yalnızca orijinal Conti kodunda kullanılan komut satırı argümanlarından kurtulmak için yürütülebilir dosyaya şifrelenmiş bir yapılandırma ekledi.”