Ürdün’de internette “Rey” takma adını kullanan 15 yaşındaki bir çocuğun, Scattered Spider, Lapsus$ ve ShinyHunters unsurlarını birleştirdiği söylenen bir kolektif olan Scattered Lapsus$ Hunters (SLH/SLSH) hack ekibinde önemli bir figür olduğu iddia edildi. Sözde maskenin düşürülmesi ve konuşma anlaşması, Rey’in doğrudan muhabirle temasa geçtiği iddiasının ardından bu hafta başlarında geldi.
İddia, siber güvenlik muhabiri KrebsOnSecurity’nin, Rey’in gerçek dünyadaki aile ayrıntılarını takip ettiği ve Ürdün Kraliyet Havayolları için çalıştığı düşünülen bir havayolu pilotu olan babası Zaid Khader olduğuna inanılan birine ulaştığı iddiasıyla ortaya çıktı. Bu mesajın gönderilmesinin ardından adının Saif Al-Din Khader olduğu iddia edilen ve gelecek ay 16 yaşına girecek olan genç iletişime geçti. Saif’in SLSH Telegram kanalını yöneten üç yöneticiden biri olduğu iddia ediliyor.
Rey’i İşaret Eden İpuçları
Geçmişte Hikki‑Chan adını da kullanan bilgisayar korsanının, kimlik bilgilerini açığa çıkaran birkaç basit hata yaptığı iddia ediliyor. İddiaya göre FBI tarafından birden fazla kez çökertilen bir suç pazarı olan BreachForums’ta yöneticiydi.
Brian Krebs’in raporuna göre Rey’in, Telegram’da @wristmug adını kullanırken kendi şifresini açığa çıkaran bir ekran görüntüsü yayınladığı iddia ediliyor. Ayrıca Jacuzzi adlı bir siber suç kanalında babasının pilot olduğu da dahil olmak üzere kişisel ipuçları paylaştığı iddia ediliyor.
Krebs’in soruşturmasının bu şifreyi e-posta adresine bağladığı iddia ediliyor [email protected]. Amman’daki ortak bir aile bilgisayarından geldiği söylenen verilerin Khader soyadını doğruladığı ve hatta Rey’in sohbetlerde bahsettiği iddia edilen bir şekilde ailenin kızlık soyadı Ginty aracılığıyla İrlanda bağlantısına işaret ettiği iddia edildi.
Üç tanınmış siber suç ekibinden oluşan SLSH grubu bu yıl faaliyete geçti. Salesforce sistemlerinden veri çaldıkları ve Toyota ve FedEx gibi şirketleri sızıntıyla tehdit ettikleri iddia ediliyor. Ayrıca şirket içinden kişileri işe almaya çalıştıkları ve bir CrowdStrike çalışanının SLSH’ye dahili ekran görüntüleri gönderdiği iddiasıyla işten çıkarıldığı iddia edildi.
Grup, ALPHV/BlackCat gibi bilinen fidye yazılımı programlarındaki kötü amaçlı yazılımları kullandı. Hellcat fidye yazılımı grubunun yöneticisi olduğu iddia edilen Rey, yakın zamanda SLSH’nin ShinySp1d3r adlı kendi fidye yazılımı hizmeti olduğunu söylediğini duyurdu.
SLSH Bulguları Reddetti
KrebsOnSecurity’ye göre Saif, gruptan ayrılmaya çalıştığını ve Haziran 2025’ten bu yana kolluk kuvvetleriyle çalıştığını iddia etti. Genç, “Gerçekten umrumda değil, sadece tüm bu şeylerden vazgeçmek istiyorum, hapis cezası olsa veya ne derse desinler” dedi.
Buna yanıt olarak SLSH, rapora sert bir saldırı başlattı. Grup, resmi Telegram kanalında gazetecinin bulgularını, itibarlarına zarar vermeye yönelik “umutsuz bir girişim” olarak değerlendirdi.
Oldukça alaycı olan yanıt, muhabirin iddialarına doğrudan meydan okudu ve tek bir kişinin birden fazla takma ad altında “tamamen farklı tekniklerle” çalışacağını varsaymanın “gülünç” olduğunu belirtti. Ayrıca gazeteciyi, Krebs’in takıntılı olduğunu iddia ederek Saif’in sözlerini olaya dahil olduğunu kabul ediyormuş gibi göstermek için çarpıtmakla suçladılar.
“İkimiz de bu takıntının sana ne kadar zarar verdiğini biliyoruz :).”
Gönderi çarpıcı bir meydan okumayla sona erdi: “Gerçek kimliğimi kamuya açıklayabilir ve bunu gerçek kanıtlarla destekleyebilirseniz size 10 BTC ödeyeceğim.”
Tam yanıtlarına göz atın:
"From what I can tell, Mr. Krebs, your "research" is nothing more than a desperate attempt to damage my reputation and a cheap way for you to show off.
We both know you simply recycled a KELA report from March of this year, downloaded a log, and turned it into an entire article.
Congratulations, Krebs! You finally learned how to use Google.1. The individual in question is indeed indirectly related to me. However, assuming that person is me is laughable. That person continued to operate under aliases such as "o5tdev" (using completely different techniques) long after I began operating as Rey. Does that sound logically possible? Do I have multiple personalities or bipolar disorder? Maybe in your world.
2. When we spoke, you deliberately fired off questions without ever disclosing it was an "interview." You falsely implied I was connected to ShinySpider ransomware. Out of nowhere_you asked, "Why are you still going with SLSH?" I answered that it's hard to just walk away from something like that. You then cherry-picked that sentence and twisted it to make it look like an admission of my involvement.
3. You also asked if ShinySpider was AI-generated.. I said I didn't know and that the only thing i have done was simply sharing the Hellcat source code for them to use as a base. Anyone with half a brain can see that ShinySpider and Hellcat are now completely different ransomware variants. Everyone knows you're just someone who recycles old garbage for a bit of attention.
4. You structured your article to make it appear as though you contacted "the father" first and that I suddenly reached out to you in panic. In reality, you messaged me first on X, and only later did I message you on Signal saying "Hi, it's Saif!"
You're probably wondering how I knew you were planning to "expose" me. Simple. It's the same way I know that person is not me, yet still related. Don't worry, Krebs, I know exactly who that Saif is.5. You're so intellectually dishonest that you're still trying to pin the "Sp1d3rHunters" persona from last year SnowFlake campaign on me, even though you supposedly have all the logs. You could have verified in five seconds that it wasn't me. So either you're incompetent and can't read your own evidence, or you knowingly pushed a lie. That IS called projection.
6. You went out of your way to paint me as the "core" of SLSH when you know that's nonsense. Why didn't you write about the other admins and members instead? Or was the only thing you managed to get your hands on a pile of garbage, and (still triggered from all the trolling in the channel) you decided to publish it anyway so you could pretend you "won"?
7. You attributed a laundry list of TTPs to me: stealer logs, social engineering, phishing, etc. You explicitly claimed the person "Saif" was operating under the alias "o5tdev," defacing websites, probably via WordPress vulns. Does it make any sense that someone would turn from popping WordPress sites to locking down Jaguar Land Rover (causing 1.9 billion EUR in losses), Orange, Telefonica, Schneider Electric, Philips, Apple, and others, all in the span of a few months?
So here's my offer, Brian:
I'll pay you 10 BTC if you can publicly reveal my real identity and back it up with real proof.
I'll pay you 15 BTC if, thanks to your article, I ever get a knock on the door from local law enforcement for the things you accused me of."
Bilgi Hırsızı Bağlantısı
Bilgi hırsızlığı yapan kötü amaçlı yazılımlar konusunda uzmanlaşmış bir siber suç istihbarat şirketi olan Hudson Rock’ın Kurucu Ortağı ve CTO’su Alon Gal, KrebsOnSecurity’nin raporunun ardından LinkedIn hakkındaki bakış açısını paylaştı. Gal’e göre, Hellcat grubuyla ve Jaguar Land Rover, Schneider Electric ve Telefonica dahil olmak üzere birçok büyük ihlalle bağlantılı olan ve “Rey” olarak bilinen kişinin resmi olarak kişisel bilgileri silindi.
Gal, siber güvenlik firması KELA’nın, daha önce bilgisayar korsanlığı forumlarında kullanılan takma adları açığa çıkaran Infostealer enfeksiyonundan elde edilen verileri kullanarak Mart 2025’te Rey’in şüpheli kimliğini zaten işaretlediğini belirtti.
Bu enfeksiyon Saif Khader adlı Ürdünlü bir kişiyle bağlantılıydı. Ele geçirilen makine, İsrail web sitelerinin tahrif edilmesi ve diğer karmaşık olmayan saldırılar da dahil olmak üzere, bilgisayar korsanlığı faaliyetinin erken belirtilerini gösterdi. Ancak KELA’nın yayınlanmasından sonra bile herhangi bir hukuki yaptırım uygulanmadı.
Gal, o sırada virüslü sistemi kişisel olarak incelediğini ve şüphelerle yola çıktığını söyledi. Rey’in bilinen davranışını ve yazma stilini ele geçirilen makinede gördükleriyle karşılaştıran Gal, Rey’in araştırmacıları yanıltmak için kasıtlı olarak eski forum kimlik bilgilerinin izlerini yerleştirmiş olabileceğine inanıyordu. Tarama geçmişi, üslup ve beceri düzeyi, fidye yazılımı ve gasp operasyonlarını yürüten kişiyle eşleşmedi. Bu karşıtlığın onu hala şaşırttığını söyledi.
Yine de Gal, Krebs’in haberine göre, söz konusu makinenin gerçekten kendisine ait olduğunu Rey’in kendisinin doğruladığını kabul etti. Gal, analizinde üç ana noktaya değindi:
- Rey, hesabı yasaklanmadan önce çevrimiçi olarak orijinal KELA araştırmasıyla dalga geçtiği ortaya çıktıktan sonra halka açık olarak faaliyet göstermeye devam etti.
- Enfeksiyonun tarihi Ocak 2024’e kadar uzanıyor, bu da Rey’in yakın zamandaki en aktif tehdit aktörlerinden biri olmasına rağmen kolluk kuvvetlerinin harekete geçmesi için muhtemelen aylar olduğu, ancak bunu yapmadığı anlamına geliyor.
- Virüs bulaşan makine, Rey’in başka yerlerdeki çalışma biçimiyle karşılaştırıldığında dil stili, arama geçmişi ve OPSEC farkındalığı açısından bir uyumsuzluk sergiledi.
Uzman yorumu:
Bu yalanlamaya rağmen Kapalı Kapı Güvenliği CEO’su William Wright, Hackread.com ile görüşlerini paylaşarak bu soruşturmanın “araştırmacı gazeteciliğin harika bir parçası” olduğunu belirtti. Olumlu olsa da, “15 yaşındaki bir çocuğun Birleşik Krallık’taki en büyük kuruluşlardan bazılarına nasıl bu kadar büyük zarar verebileceği konusunda kamuoyunda çok fazla endişe olacağını” belirtti.
Wright, gerçeğin “o kadar basit olmadığı” konusunda uyardı ve şunları ekledi: “Rey, Rus tehdit aktörleriyle işbirliği yapıyordu ve onların altyapılarını son derece karmaşık saldırılar gerçekleştirmek için kullanıyordu.” Sözünü şu şekilde tamamladı: “Rey şu anda emniyet teşkilatı ile çalıştığını iddia ediyor ve bu da Scattered Lapsus$ Hunter Telegram kanalında sorunlara neden oluyor. Bu, çetenin diğer üyelerinin kimliğinin tespit edilmesine yol açabilir, ancak Rey emniyet teşkilatını yeterince desteklerse bu durumdan kolaylıkla kurtulabilir.”