文章总结： 文档分析ScatteredSpider组织核心成员认罪事件，揭示该英语母语年轻黑客团伙通过短信钓鱼、SIM交换攻击窃取凭证并绕过MFA，与勒索软件组织协同攻击欧美企业。关键发现包括攻击链四阶段演进、与’TheCom’社区关联及跨境执法挑战，建议企业采用硬件令牌替代短信验证、加强员工社工培训并部署威胁情报监控。 综合评分： 85 文章分类： 威胁情报,恶意软件,安全运营,漏洞分析,安全意识

Scattered Spider核心成员认罪：深度解析以英语母语为主的网络犯罪组织的战术演进与地缘关联

原创

威胁情报中心 威胁情报中心

奇安信威胁情报中心

2026年4月27日 14:43 北京

在小说阅读器读本章

去阅读

事件概述

2024年6月，苏格兰籍威胁行为体Tyler Robert Buchanan在西班牙被捕，后于2024年11月被美方正式起诉。2025年，美国司法部正式宣布该成员对参与Scattered Spider网络犯罪组织的相关指控认罪。这一进展标志着针对以经济利益为导向的英语母语黑客组织的国际执法行动进入新阶段。

Buchanan（24岁，苏格兰邓迪人）在美国法庭承认以下罪行：与同谋者合谋入侵数十家企业的网络系统，通过短信钓鱼攻击（Smishing）窃取员工凭证和个人身份信息，结合SIM卡交换攻击（SIM Swapping）绕过双因素认证，最终从美国受害者处窃取至少800万美元加密货币。

威胁行为体深度画像：Scattered Spider

Scattered Spider是一个以英语为母语、成员相对年轻的网络犯罪组织，因其独特的社工攻击风格而备受关注。该组织使用多个别名，包括Muddled Libra、Scatter Swine、Starfraud以及CrowdStrike命名的UNC3944。

奇安信威胁情报中心监测显示，Scattered Spider并非独立的网络犯罪实体，而是更广泛网络犯罪生态”The Com”的组成部分。这一归属关系解释了该组织为何能够获取高端攻击资源并与其他勒索软件组织形成协同关系。

成员特征

该组织成员以16-25岁的英语母语年轻人为主，这种年龄结构和语言背景使其在针对欧美企业的社工攻击中具有独特优势。相比传统的东欧网络犯罪组织，Scattered Spider成员更熟悉西方企业文化和工作流程，能够设计出更具欺骗性的钓鱼话术。

核心成员档案：

| 成员 | 年龄 | 国籍 | 状态 | 备注 | | — | — | — | — | — | | Tyler Robert Buchanan | 24 | 英国 | 认罪，待宣判 | 核心策划者 | | Noah Michael Urban | – | 美国 | 已判10年 | 2024年8月判刑 | | Ahmed Hossam Eldin Elbadawy | 23 | 美国（德克萨斯） | 起诉在审 | – | | Evans Onyeaka Osiebo | 20 | 美国（德克萨斯） | 起诉在审 | – | | Joel Martin Evans | 25 | 美国（北卡罗来纳） | 起诉在审 | – |

#

攻击链深度解析：从凭证窃取到加密货币洗劫

Scattered Spider组织已形成一套成熟且高度自动化的攻击框架。

第一阶段：短信钓鱼（SMS Phishing）

攻击者向受害企业员工批量发送钓鱼短信，内容通常伪装成企业VPN异常、账户安全警告或密码过期提醒。原文披露的攻击手法显示，Buchanan及其同谋向目标公司员工发送数百条钓鱼短信，链接指向精心设计的钓鱼页面。

这些钓鱼页面高度模仿企业登录门户，包括伪造的合法品牌界面、SSL证书（部分情况下）以及与真实网站相似的域名。钓鱼工具包自动捕获员工输入的凭证，并实时传输至攻击者控制的Telegram频道。

技术特征：

• 使用多域名部署钓鱼基础设施，避免单点失效
• Telegram频道作为数据中转站，降低被发现概率
• 针对不同目标定制钓鱼内容，提高可信度

第二阶段：凭证利用与横向移动

获取初始凭证后，攻击者快速识别可利用的账户，特别是具有高权限的管理账户。通过合法的VPN通道访问企业网络后，攻击者在内网进行侦察，识别关键资产和敏感数据存储位置。

这一阶段的目标不仅限于加密货币钱包，还包括：

• 知识产权和商业机密
• 员工个人身份信息（PII）
• 其他系统登录凭证
• 内部机密文档和通信记录

第三阶段：SIM卡交换攻击——绕过MFA的关键

SIM卡交换攻击是该组织攻击链的核心环节。当受害者的加密货币交易所账户或钱包启用了基于短信的双因素认证时，攻击者通过以下流程实现账户劫持：

1. 信息收集：通过第一阶段窃取的PII确定受害者身份信息、手机号码运营商
2. 社工联络：冒充受害者致电运营商客服，请求将号码转移至攻击者控制的SIM卡
3. 验证码拦截：成功换卡后，所有短信验证码发送至攻击者设备
4. 账户清空：使用拦截的验证码完成认证，重置钱包密码，转走所有资产

原文披露，执法部门在Buchanan的苏格兰住所发现的设备中包含多名受害者的姓名和地址信息，以及加密货币种子短语文件，直接证明其对SIM交换攻击的深度参与。

第四阶段：混币与变现

窃取的加密货币通过多层混币服务转移，攻击者精心设计交易路径以逃避区块链分析追踪。最终资金通过场外交易（OTC）或暗网市场转换为法币。

受害者画像与行业分布

根据多方信息交叉验证，Scattered Spider的攻击活动在2021年9月至2023年4月期间达到高峰，受害企业涵盖多个关键行业：

| 行业 | 代表性受害者 | 攻击影响 | | — | — | — | | 酒店与娱乐 | MGM Resorts、Caesars | 系统瘫痪、数据泄露 | | 科技 | Twilio、GitHub、Cloudflare | 员工凭证泄露 | | 通信 | Mailchimp | 用户数据外泄 | | 零售 | DoorDash、英国/美国零售企业 | 客户信息泄露 | | 加密货币 | 虚拟货币服务商 | 数百万美元损失 |

该组织对MGM Resorts的攻击尤为引人注目。2023年9月，攻击者通过社工手段获取内部系统访问权限，导致赌场预订系统、酒店管理系统和忠诚度计划平台全面瘫痪，直接损失超过1亿美元。这一事件充分展示了Scattered Spider从凭证窃取到大规模企业入侵的能力跃升。

战术技术演变趋势：从”0ktapus”到专业攻击组织

分析发现，Scattered Spider的攻击能力经历了明显演进轨迹。

起源：0ktapus钓鱼攻击（2022年）

该组织最初以”0ktapus”名称活动，主要针对多因素认证（MFA）服务商发起钓鱼攻击。通过克隆Okta登录页面，该组织窃取了大量企业员工的SSO凭证。这一阶段的攻击手法相对简单，以大规模钓鱼为主。

成熟期：多向量社工攻击（2022-2023年）

随着攻击经验积累，Scattered Spider开始采用更复杂的社会工程策略：

• MFA轰炸（MFA Fatigue）：向受害者重复发送多因素认证请求，直至其不堪骚扰而批准
• 语音钓鱼（Vishing）：冒充IT支持人员通过电话获取访问权限
• SIM交换攻击：成为绕过强认证的标准手段

协同阶段：与勒索软件组织合流（2023年至今）

奇安信威胁情报中心监测发现，Scattered Spider与多个勒索软件组织存在合作关系，包括BlackCat/AlphV、Qilin和RansomHub等。这表明该组织已从单纯的数据窃取转向更深层次的入侵服务，为勒索软件攻击提供初始访问通道。

这种协同模式的典型案例包括：

• 提供被盗凭证和内网访问权限
• 协助完成横向移动和数据外泄
• 参与赎金谈判过程

地缘关联与”The Com”网络犯罪生态

Scattered Spider作为”The Com”网络犯罪社区的成员，其活动模式反映了这一地下生态的运作特征。

“The Com”概述

“The Com”是一个以英语为主的地下社区，成员通过特定论坛和即时通讯平台进行联络。该社区具有以下特征：

• 成员年龄普遍较低，强调”年轻黑客”身份认同
• 采用社工攻击作为主要突破手段
• 重视信息共享和攻击工具流通
• 与传统东欧网络犯罪组织存在明显区别

与传统网络犯罪的差异

| 特征 | Scattered Spider/”The Com” | 传统东欧网络犯罪组织 | | — | — | — | | 成员语言 | 英语母语 | 俄语为主 | | 组织结构 | 松散社区型 | 层级分明帮派型 | | 攻击偏好 | 社工、钓鱼、SIM交换 | 勒索软件、漏洞利用 | | 目标选择 | 科技、加密货币 | 金融、医疗 | | 基础设施 | Telegram、云服务 | 传统服务器、Tor |

执法挑战

Buchanan在西班牙被捕的案例凸显了追踪英语母语网络犯罪分子的复杂性。与东欧犯罪分子通常在俄罗斯等地建立安全庇护所不同，”The Com”成员分布广泛，增加了国际执法协调的难度。然而，美国与西班牙、英国的执法合作最终成功实现引渡，显示了跨国司法协作的有效性。

国内关联影响与风险预警

尽管Scattered Spider的主要目标为欧美企业，但国内企业和机构也应高度重视以下风险：

直接风险

1. 跨国科技企业影响：在华的跨国科技公司（特别是涉及云通信、BPO服务的厂商）可能成为Scattered Spider的攻击跳板
2. 加密货币交易所用户：使用短信验证码认证的国内加密货币用户面临SIM交换攻击风险
3. 远程办公基础设施：使用VPN和SSO的企业员工凭证对攻击者具有高价值

间接风险

1. 工具扩散：Scattered Spider使用的钓鱼工具包和Telegram数据通道模式可能被国内威胁行为体模仿
2. 协作网络延伸：随着该组织与勒索软件组织的关系深化，针对国内企业的勒索攻击可能通过类似模式发起

防护建议

奇安信安全专家建议企业采取以下措施应对此类威胁：

技术层面：

• 禁用基于短信的双因素认证，改用硬件令牌或认证器应用
• 对VPN和SSO登录实施设备绑定和地理限制
• 部署邮件/短信钓鱼检测系统，对可疑链接进行实时阻断
• 建立MFA异常行为监控，识别非工作时间或异常设备的认证请求

管理层面：

• 定期进行社工防范培训，特别是针对钓鱼和SIM交换攻击
• 建立SIM卡安全策略，要求员工为其手机号码启用运营商保护
• 完善加密货币钱包管理规范，使用硬件钱包存储大额资产
• 定期审计第三方服务商的安全状况，特别是云通信提供商

监控层面：

• 部署威胁情报平台，追踪与”The Com”相关的攻击活动
• 建立Telegram频道和地下论坛监控机制
• 对员工个人信息泄露进行持续监测

结论与后续跟踪

Tyler Buchanan的认罪标志着Scattered Spider组织面临的重大打击，但考虑到该组织成员的年轻化特征和社区化运作模式，其活动不会因此终止。奇安信威胁情报中心将持续跟踪该组织的后续发展，重点关注：

1. Buchanan的量刑结果及其可能的协助执法行动
2. 其余三名被告的审判进展
3. Scattered Spider组织的战术调整和能力演进
4. 与勒索软件组织的协作深化程度

国内企业和机构应以此案为契机，全面审视自身安全防护体系中对社工攻击和SIM交换攻击的抵御能力，特别是在多因素认证和移动设备安全领域。

技术附录：相关MITRE ATT&CK技术映射

| 技术ID | 技术名称 | Scattered Spider使用情况 | | — | — | — | | T1566 | 网络钓鱼 | 短信钓鱼、钓鱼工具包 | | T1566.002 | 鱼叉式钓鱼链接 | 定制化钓鱼内容 | | T1649 | 盗窃或伪造身份证明文件 | SIM交换攻击 | | T1078.004 | 有效账户：云账户 | 使用窃取凭证访问企业系统 | | T1098 | 账户操作 | 利用窃取的PII进行账户恢复 | | T1556.002 | 修改认证流程：密码哈希同步 | 尝试同步认证令牌 | | T1071.001 | 应用层协议：Web协议 | C2通信、Telegram数据通道 |

参考来源

[1].https://www.securityweek.com/british-scattered-spider-hacker-pleads-guilty-in-the-us/

点击阅读原文至ALPHA 9.1

即刻助力威胁研判

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心 威胁情报中心 威胁情报中心《Scattered Spider核心成员认罪：深度解析以英语母语为主的网络犯罪组织的战术演进与地缘关联》