Eclecticiq analistleri, Shinyhunters’ın AI-özellikli ses kimlik avı, tedarik zinciri uzlaşmasını birleştirerek ve işletme ağlarına doğrudan erişim sağlayabilecek çalışanlar veya yükleniciler gibi kötü niyetli içeriden kullanıcıları kullanarak operasyonlarını genişlettiğine dair yüksek güvenle değerlendiriyor.
Shinyhunters, perakende, havayolu ve telekom şirketleri tarafından kullanılan tek oturum açma (SSO) platformlarına yetkisiz erişim sağlayan sesli kimlik avı saldırıları yapmak için dağınık örümcek ve com üyelerine güveniyor.
Grup, bu erişimi büyük miktarda müşteri verilerini ve zorla mağdur kuruluşları yaymak için kullanıyor.
Analistler, Shinyhunters lideri Shinycorp’un, şirket başına 1 milyon doları aşan fiyatlarla aktif olarak fidye yazılımı bağlı kuruluşları ve diğer Ecrime aktörleriyle çalıntı veri kümeleri sattığını gözlemledi.
Eclecticiq analistleri, ‘Shinysp1d3r’ Hizmet Olarak Fidye Yazılımı (RAAS) ağının şu anda geliştirildiğinde, VMware ESXI ortamlarını şifrelemek için tasarlanmış özelliklerle gözlemledi.
Analistler, operasyonel bir kez, Shinyhunters’ın kurban tabanını genişletmek, yeni bağlı kuruluşları çekmek ve gasp yeteneklerini genişletmek için bu hizmetten yararlanacaklarını orta güvenle değerlendiriyorlar.
Shinyhunters, CI/CD boru hatlarına sızmak için GIT sürüm kontrolü, Browserstack, JFROG ve bulut proje yönetimi platformlarında yüksek müstehcen mühendislik hesaplarını hedefler.
Analistler, bu erişimin büyük olasılıkla, tehdit aktörlerinin yazılım tedarik zincirindeki tek bir erişim noktasıyla binlerce işletme sistemini tehlikeye atmasına izin veren Shinyhunters’ın tercih edilen bir taktiği olan tedarik zinciri saldırılarını mümkün kılmak için yüksek güvenle değerlendiriyorlar.
31 Ağustos 2025’te, Shinyhunters tarafından işletilen “Dağılmış Lapsus $ Hunters 4.0” Telegram kanalı, Finans, Sigorta, Havacılık, Telekom ve diğer sektörlerde çalışanlara Finansal Ödüller sunan bir işe alım mesajı yayınladı.
Güvenilir içericilere olan bu güven, girişim savunmalarını meşru kanallar aracılığıyla atlama riskini vurgulamaktadır.
AI güdümlü sesli kimlik avı
Shinyhunters iştirakleri, Twilio, Google Voice ve 3CX gibi VoIP hizmetlerini kullanarak sesli kimlik avı (Vishing) operasyonlarını artırdı.
Grup ayrıca sosyal mühendislik çağrılarını otomatikleştirmek için Vapi ve mülayim gibi meşru AI destekli platformlardan yararlanır.
Bland’ın Büyük Dil Modeli (LLM), kurban tepkilerine gerçek zamanlı olarak uyarlanmış dinamik konuşma yolları üretirken, yapılandırılabilir ses stilleri bölgesel aksanları ve cinsiyetleri taklit ederek güvenilirliği artırır.
Analistler, dağınık örümcek üyelerinin çoğu sesli çağrı kimlik avı yürüttüğü konusunda yüksek güvenle değerlendirir, ancak Shinyhunters, şablon güdümlü saldırıları otomatikleştiren ‘çağrı merkezi’ panolarına ve P1 telgraf botlarına ek vishing kapasitesini dış kaynaklardan uzaklaştırır.
https://www.youtube.com/watch?v=yrn0uda-21m
AI diyalog yönetimi ve gerçekçi sentetik sesin bu karışımı, Shinyhunters bağlı kuruluşlarının vishing kampanyalarını benzeri görülmemiş bir ölçekte yapmalarını sağlar.
Meydan okumalı Salesforce CRM gösterge panoları, OKTA, Microsoft 365 ve Amazon S3’e toplu pespiltrasyon ve yanal hareketi sağlar.
Havayolu ve perakende sektörlerine karşı yapılan son kampanyalarda, Shinyhunters 26 GB’a kadar kullanıcı hesabı, 16 GB iletişim kaydı, 5.5 GB e -posta günlüğü ve daha fazlasını sundu.
Grup, veri örneklerini sızdırmak için Limewire dosya paylaşımı kullanıyor ve kurbanlara yedi haneli gasp talepleri ödemeleri için baskı yapıyor. Analistler, Shinycorp’un telgraf ve QTOX kanalları aracılığıyla şirket başına 1 milyon dolara kadar çalıntı havayolu verileri sattığını belirledi.
Eclecticiq analistleri, VMware ESXI ortamlarını şifrelemek için tasarlanmış bir RAAS platformu olan ‘Shinysp1d3r’ in gelişimini gözlemledi.
Hizmet, sanallaştırma ev sahiplerini hedeflemeyi ve bağlı kuruluşların fidye yazılımlarını doğrudan hipervizör altyapılarına karşı dağıtmalarını sağlamayı amaçlamaktadır.
Operasyonel bir kez, bu RAAS, Shinyhunters’ın fidye yazılımlarını büyük ölçüde artırabilir ve kurumsal kurtarma süreçlerini karmaşıklaştırabilir.
Analistler, bu gelişmenin yeni bağlı kuruluşlar almayı ve yüksek değerli sanallaştırma ortamlarını hedefleyerek gasp çıktılarını genişletmeyi amaçladığını orta güvenle değerlendiriyor.
Hafifletme
Eclecticiq analistleri, kuruluşların SSO ile entegre edilmiş uygulamalar arasında katı erişim kontrollerini ve izlemeyi uygulamalarını, kitle ihracat izinlerini denetlemelerini ve en az ayrıcalık ilkeleri uygulamasını önermektedir.
Salesforce, OKTA ve Microsoft 365 gibi STO platformlarının tam zamanında erişim ve IP tabanlı kısıtlamalarla sertleştirilmesi esastır.
SIEM ve SOAR araçlarını kullanarak izleme ve anomali tespiti, büyük veri ihracatını ve olağandışı MFA olaylarını işaretlemelidir.
Çalışan eğitimi, AI güdümlü Vishing simülasyonlarını, yüksek riskli talepler için iç doğrulama zorluklarını ve MFA yorgunluk risklerinin farkındalığını içermelidir.
İçeriden tehdit senaryoları, şüpheli iç aktiviteyi tespit etmek için Honeypot dağıtımlarıyla birleştiğinde tehdit modellerine entegre edilmelidir.
Shinyhunters, AI özellikli sosyal mühendislik, tedarik zinciri uzlaşmaları ve ‘Shinysp1d3R’ gibi özel RAAS teklifleri ile yenilik yapmaya devam ettikçe, kuruluşlar teknik kontrolleri sağlam insan merkezli güvenlik önlemleriyle birleştirerek katmanlı bir savunma duruşunu benimsemelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.