文章总结： 威胁组织ScatteredLapsusHunters推出新型勒索软件即服务平台ShinySp1d3r，并招募企业内鬼。该组织针对高收入企业，通过分层佣金结构获取AD及云平台访问权限。利用心理话术消除内鬼顾虑，威胁将持续窃取数据。建议企业加强内部权限管理与防社工培训。 综合评分： 81 文章分类： 威胁情报,恶意软件,社会工程学,数据泄露

Scattered Lapsus$ Hunters推出新型勒索软件即服务平台并大肆招募内鬼

FreeBuf

2026年1月7日 17:37 上海

在针对Salesforce第三方集成（包括Gainsight和Salesloft）的高调供应链攻击沉寂一段时间后，臭名昭著的Scattered Lapsus$ Hunters威胁组织已重出江湖。地下Telegram频道和凭证交易论坛的最新活动显示，该组织已重建运营架构，并针对内部人员和初始访问经纪人发起大规模招募行动。

该组织目前正在推广名为ShinySp1d3r的新型勒索软件即服务（RaaS）平台，据称这是与ShinyHunters、Scattered Spider和Lapsus$有关联的黑客共同开发的成果。

Part01

运营策略重大转变

此次复出标志着该组织的运营策略发生重大转变。与以往主要依赖社会工程手段的攻击活动不同，该组织现在采取更结构化的方式，专注于通过内鬼合作和佣金交易获取特权访问权限。

其招募广告明确了目标标准：年收入超过5亿美元的企业，但排除俄罗斯、朝鲜、白俄罗斯等实体以及医疗保健行业。该组织建立了分层佣金结构：对已加入Active Directory的系统提供25%的佣金，对Okta、Azure Portal和AWS IAM根访问等云身份平台则提供10%的佣金。

Part02

针对性招募与技术凭证

CYFIRMA分析师通过监控封闭的Telegram群组和访问经纪人生态系统发现，该组织正在积极发布招募信息并洽谈初始访问权限购买事宜。该组织特别寻求能够从电信供应商、软件和游戏公司以及呼叫中心环境提供VPN、VDI、Citrix或AnyDesk访问权限的内部人员。

聊天室讨论中频繁提及LizardSquad名称，但这些提及似乎只是声誉建设策略的一部分，而非真实合作关系的证据。该组织通过分享据称由内部人员提供的CrowdStrike内部仪表板和Okta单点登录页面的泄露截图来证明其可信度。

Part03

内鬼招募与反侦察话术

这些威胁行为者采取了复杂的话术来消除潜在内鬼对被发现的担忧。在最近CrowdStrike内鬼事件发生后，该组织公开向潜在合作者保证，其行动中的线人将不会被发现。

他们将CrowdStrike事件描述为一次失败的内鬼尝试导致的自我暴露，利用这种说辞在潜在招募对象中建立信心。这种话术策略表明，该组织理解阻止内部人员参与恶意活动的心理障碍，并正在积极解决这些担忧。

ShinySp1d3r的开发进一步表明，该组织正为持续运营至2026年做准备，并公开威胁要入侵目标组织并泄露更多客户数据。

参考来源：

Scattered Lapsus$ Hunters Resurface with New RaaS Platform ‘ShinySp1d3r’ and Aggressive Insider Recruitment

Scattered Lapsus$ Hunters Resurface with New RaaS Platform ‘ShinySp1d3r’ and Aggressive Insider Recruitment

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Scattered Lapsus$ Hunters推出新型勒索软件即服务平台并大肆招募内鬼》