En kötü şöhrete sahip üç tehdit aktörü Scattered Spider, ShinyHunters ve LAPSUS$, Ağustos 2025’in başlarında ortaya çıkan federe bir kolektif olan Scattered LAPSUS$ Hunters’ı (SLH) oluşturmak için resmi olarak bir araya geldiğinden, yeraltı siber suçluları önemli bir birleşmeye tanık oldu.
Bu stratejik birleşme, geleneksel bağımsız operasyonlardan bir kopuşu temsil ediyor ve yerleşik gruplardan gelen itibar sermayesini, devam eden kolluk kuvvetleri baskısına ve platform denetleme çabalarına rağmen görünürlüğü ve geliri sürdürmek için tasarlanmış rafine bir operasyonel yapıyla birleştiren karmaşık bir tehdit modeli sunuyor.
İttifak öncelikli olarak Telegram aracılığıyla faaliyet gösteriyor ve şifreli iletişim platformunu yalnızca bir koordinasyon aracı olarak değil, aynı zamanda operasyonel yeteneklerin, ihlal duyurularının ve mağdur istismarının maksimum psikolojik etki için dikkatle düzenlendiği performansa dayalı bir pazarlama kanalı olarak kullanıyor.
Sosyal performansın bu stratejik kullanımı, geleneksel mali motivasyonlu siber suç hedefleriyle eşleştirildiğinde, SLH’yi, dikkat odaklı teatralliği, Salesforce ve diğer SaaS sağlayıcıları da dahil olmak üzere yüksek değerli işletmeleri hedef alan hesaplanmış gasp taktikleriyle harmanlayan benzersiz bir operasyonel alanda konumlandırıyor.
Stratejik Konsolidasyon ve Taktiksel Ortaya Çıkış
SLH’nin oluşumu siber suç pazarındaki önemli aksamalarla aynı zamana denk geldi. Tarihsel olarak veri sızıntısı dağıtımı ve tehdit aktörlerinin işe alınması için merkezi bir merkez olan BreachForums’un çöküşü, SLH’nin parçalanmış hedef kitleleri absorbe ederek ve feshedilmiş toplulukların itibar varlıklarını yeniden paketleyerek stratejik olarak doldurduğu operasyonel bir boşluk yarattı.
Grubun ilk doğrulanmış Telegram kanalı 8 Ağustos 2025’te açıldı ve gevşek bağlı operatörler arasında akıcı işbirliği ve marka paylaşımıyla karakterize edilen resmi olmayan bir siber suç ekosistemi olan daha geniş “The Com” ağıyla entegrasyonun hemen sinyalini verdi.
Başlangıçtan bu yana, SLH’nin Telegram varlığı en az on altı platform döngüsünden geçti; kanallar defalarca kaldırıldı ve “dağınık LAPSUS$ avcıları 7.0” da dahil olmak üzere gelişen terminoloji altında yeniden oluşturuldu.
Bu uyarlanabilir esneklik, örgütsel olgunluğu ve koordineli operasyonel disiplini gösteriyor; parçalanmış bireysel kimliklere rağmen, temel operasyonel karar almanın merkezi ve stratejik olarak tutarlı kaldığını gösteriyor.
Kanıtlar, birincil operasyonu beşten az kişinin yürüttüğünü gösteriyor; “shinycorp” @sp1d3rhunters ve @shinyc0rp gibi takma adlar altında ana orkestratör olarak görev yaparken, “Alg0d”, “yuka” ve “UNC5537” gibi yardımcı kişiler erişimi ve operasyonel kapsamı genişletiyor.
SLH’yi fırsatçı siber suç girişimlerinden ayıran şey, istismar geliştirmeyi, güvenlik açığı komisyonculuğunu ve hedefli kalıcılık mekanizmalarını kapsayan kanıtlanmış teknik gelişmişliğidir.
Kolektif, ağırlıklı olarak AI tarafından otomatikleştirilmiş kimlik avı ve hedef odaklı kimlik avı kampanyalarından yararlanan kimlik bilgileri toplama ve ardından hızlı yanal hareket, ayrıcalık yükseltme ve veri sızması yoluyla bulut altyapısını, SaaS platformlarını ve veritabanı sistemlerini hedefleyen özel bir uzmanlık sergiliyor.
Özellikle, “yuka” (Yukari veya Cvsp olarak da bilinir) kişiliği, BlackLotus UEFI önyükleme kiti ve Medusa kök kiti gibi tarihsel ilişkilerle birlikte güvenilir istismar geliştirme yetenekleri sağlar.
SLH’yi, daha önce Cl0p fidye yazılımı operatörleri tarafından kullanılan bir güvenlik açığı olan CVE-2025-61882 (Oracle E-Business Suite) dahil olmak üzere çok sayıda sıfır gün istismarına bağlayan iddialar, ya doğrudan kod sızıntısı, yararlanma paylaşım düzenlemeleri ya da kolektif operasyonel etkiyi artıran karmaşık güvenlik açığı aracılık ağları önermektedir.
Gelecekteki Etkiler
SLH, geleneksel veri hırsızlığının ötesinde, pazar konumlandırmasını resmileştiren ve bağlı kuruluş alımını mümkün kılan bir Hizmet Olarak Gasp (EaaS) modelini resmen kaydetti.
SLH ayrıca, özellikle CRM’leri, DBMS’leri ve SaaS platformlarını hedefleyen sıfır gün araştırmasına benzeyen araçlar da dahil olmak üzere, önemsiz olmayan istismar geliştirme ve edinme yetenekleri de sergiliyor.
Grubun Telegram kanalları, baskı kampanyaları, ifşa operasyonları ve hedefli taciz için hem operasyonel müşterilerden hem de serbest çalışan katılımcılardan aktif olarak talepte bulunarak, operasyonel karmaşıklığı bulanıklaştıran ve ilişkilendirmeyi dağıtan kitle kaynaklı gasp modellerini tanıtıyor.
SLH, 2026 yılı boyunca konumunu sağlamlaştırırken, gelişmiş teknik yetenekleri teatral marka yönetimiyle birleştiren hibrit operasyonel modeli, muhtemelen Com ekosistemi içinde benzer konsolidasyon çabalarına ilham verecek ve organize siber suç faaliyetlerinin gidişatını, teknik beceriye eşdeğer stratejik varlıklar olarak anlatı kontrolüne, operasyonel esnekliğe ve izleyici katılımına öncelik verecek şekilde şekillendirecek.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.