1 Eylül 2025 Pazartesi günü, bir telgraf kanalında son birkaç yılın en çok konuşulan siber suç gruplarına bağlı bir mesaj ortaya çıktı. Doğrudan Google CEO’su Sundar Pichai’ye hitap eden mesaj, şirketin güvenlik ekibinin iki üyesinin kovulmasını istedi. Google reddedilirse, bilgisayar korsanları dahili veritabanları olduğunu iddia ettiklerini sızdırmakla tehdit etti.
Tehditin arkasındaki grup, dağınık örümcek, Lapsu $ ve Shinyhunters’ın taktiklerini ve markasını birleştiren bir koalisyon olan “dağınık Lapsus $ Hunters” diyor. Açıklamalarında, Google’ın Tehdit İstihbarat Grubu’nda başlıca tehdit analisti Austin Larsen ve Maniant’ı satın almasının ardından Google’a katılan tanınmış bir siber güvenlik lideri Charles Carmakal’ı seçtiler.
Bilgisayar korsanları ayrıca Google’ın güvenlik ekiplerine, devam eden soruşturmalarını, olay müdahale uzmanları tarafından tanımlanan kötü amaçlı faaliyet kümeleri olan UNC numaralı gruplara bırakmalarını emretti.
Telgraf mesajı tonda açıktı. Larsen ve Carmakal’ın sonlandırılmadığı ve Google Tehdit İstihbarat Grubu ve Mantiant, UNC3944, UNC5537, UNC6040, UNC6240 ve UNC6395’e atfedilen faaliyeti araştırmayı bırakmadıkça, grubun Google’dan aldığını iddia ettikleri verileri sızdırmayacağı konusunda uyardı.
Şimdiye kadar, Google’ın dahili sistemlerine doğrudan erişim kanıtı sunmadılar. Bununla birlikte, duruma ağırlık katan şey, daha önce Google tarafından iş iletişimi için kullanılan bir Salesforce sistemini hedefleyen Shinyhunters’ın Ağustos 2025 etkinliğidir.
Bu ihlal edilen iletişim bilgilerini ihlal etti ve kimlik avı kampanyaları için fırsatlar yarattı, ancak Gmail hesaplarından veya tüketiciye dönük hizmetlerden ödün vermedi. Güvenlik uzmanları, en son taleplerin devam eden soruşturmaların gözdağı ve bozulması hakkında Google’ın temel altyapısına doğrulanmış herhangi bir erişimden daha fazla olduğuna inanmaktadır.
Bireysel isimlerin tehdide dahil edilmesi, yüksek profilli siber suç grupları için bile olağandışıdır. Tipik olarak, bilgisayar korsanları finansal gasp veya hassas verileri çalmaya odaklanır, ancak belirli analistlerin ateşlenmesini istemek, Google’ın operasyonlarını izleme ve bunlara karşı koyma yeteneğini zayıflatmak için hesaplanmış bir girişimde bulunur.
Hem Larsen hem de Carmakal, sofistike olaylara yanıt verme ve hükümetlere ve devlete bağlı ve finansal olarak motive olmuş gruplara karşı savunma stratejilerini koordine etme konusunda geçmişlere sahiptir.
Google, Telegram Ultimatum’a halka açık bir yanıt vermedi. Yukarıdaki ekran görüntüleri gösterildiği gibi, grup, adlandırılmış çalışanlar reddedilmedikçe, Google verilerinin çalındığını iddia ettiklerini sızdıracaklarını uyararak taleplerini tekrarlamaya devam etti.