Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Il collettivo nascente che unisce tre importanti gruppi di criminalità informatica, Scattered Spider, LAPSUS$ e ShinyHunters, ha creato ben 16 canali Telegram dall'8 agosto 2025.
"Dal suo debutto, i canali Telegram del gruppo sono stati rimossi e ricreati almeno 16 volte con diverse iterazioni del nome originale: un ciclo ricorrente che riflette la moderazione della piattaforma e la determinazione degli operatori a sostenere questo specifico tipo di presenza pubblica nonostante le interruzioni", ha affermato Trustwave SpiderLabs, una società di LevelBlue, in un rapporto condiviso con The Hacker News.
Scattered LAPSUS$ Hunters (SLH) è emerso all'inizio di agosto, lanciando attacchi di estorsione di dati contro organizzazioni, comprese quelle che hanno utilizzato Salesforce negli ultimi mesi. Tra le sue offerte principali c'è un servizio di estorsione come servizio (EaaS) a cui altre affiliate possono aderire per esigere un pagamento dalle vittime in cambio dell'utilizzo del "marchio" e della notorietà dell'entità consolidata.
Si ritiene che tutti e tre i gruppi siano affiliati a un'organizzazione criminale informatica federata e poco consolidata, denominata The Com, caratterizzata da "fluida collaborazione e condivisione del marchio". Da allora, gli autori della minaccia hanno mostrato le loro associazioni con altri cluster adiacenti, monitorati come CryptoChameleon e Crimson Collective.
Telegram, secondo il fornitore di sicurezza informatica, continua a essere il luogo centrale in cui i suoi membri possono coordinare e dare visibilità alle operazioni del gruppo, adottando uno stile simile a quello dei gruppi di hacktivisti. Questo ha un duplice scopo: trasformare i suoi canali in un megafono che consente agli autori delle minacce di diffondere i propri messaggi e commercializzare i propri servizi.
"Con l'aumentare dell'attività, le posizioni amministrative hanno iniziato a includere firme che facevano riferimento al 'Centro operativo SLH/SLSH', un'etichetta auto-applicata dal peso simbolico che proiettava l'immagine di una struttura di comando organizzata che conferiva legittimità burocratica a comunicazioni altrimenti frammentate", ha osservato Trustwave.
I membri del gruppo hanno anche utilizzato Telegram per accusare attori statali cinesi di sfruttare vulnerabilità presumibilmente prese di mira da loro, prendendo di mira contemporaneamente le forze dell'ordine statunitensi e britanniche. Inoltre, sono stati scoperti a invitare gli abbonati al canale a partecipare a campagne di pressione, recuperando gli indirizzi email dei dirigenti e inviando loro email incessantemente in cambio di un pagamento minimo di 100 dollari.
Di seguito sono elencati alcuni dei cluster di minacce noti che fanno parte dell'equipaggio, evidenziando un'alleanza coesa che riunisce diversi gruppi semi-autonomi all'interno della rete The Com e le loro capacità tecniche sotto un unico ombrello:
Fanno parte del gruppo anche identità come Rey e SLSHsupport, responsabili del mantenimento dell'impegno, insieme a yuka (noto anche come Yukari o Cvsp), che ha una storia di sviluppo di exploit e si presenta come un broker di accesso iniziale (IAB).
Sebbene il furto di dati e l'estorsione continuino a essere i pilastri di Scattered LAPSUS$ Hunters, gli autori della minaccia hanno accennato a una famiglia di ransomware personalizzata denominata Sh1nySp1d3r (nota anche come ShinySp1d3r) per rivaleggiare con LockBit e DragonForce, suggerendo possibili operazioni ransomware in futuro.
Trustwave ha descritto gli autori della minaccia come posizionati da qualche parte nello spettro della criminalità informatica motivata da interessi finanziari e dell'hacktivismo guidato dall'attenzione, mescolando incentivi monetari e convalida sociale per alimentare le loro attività.
"Attraverso il branding teatrale, il riciclaggio della reputazione, l'amplificazione multipiattaforma e la gestione stratificata dell'identità, gli attori dietro SLH hanno dimostrato una matura comprensione di come la percezione e la legittimità possano essere utilizzate come armi all'interno dell'ecosistema della criminalità informatica", ha aggiunto.
"Presi insieme, questi comportamenti illustrano una struttura operativa che combina ingegneria sociale, sviluppo di exploit e guerra narrativa: una miscela più caratteristica degli attori underground affermati che dei nuovi arrivati opportunisti."
Cartelizzazione di un altro tipo
La rivelazione arriva mentre Acronis ha rivelato che gli autori della minaccia dietro DragonForce hanno rilasciato una nuova variante di malware che utilizza driver vulnerabili come truesight.sys e rentdrv2.sys (parte di BadRentdrv2) per disabilitare il software di sicurezza e terminare i processi protetti come parte di un attacco BYOVD (Bring Your Own Vulnerable Driver).
DragonForce, che all'inizio di quest'anno ha lanciato un cartello ransomware, ha da allora stretto una partnership con Qilin e LockBit nel tentativo di "agevolare la condivisione di tecniche, risorse e infrastrutture" e rafforzare le proprie capacità individuali.
"Gli affiliati possono distribuire il proprio malware utilizzando l'infrastruttura di DragonForce e operando con il proprio marchio", hanno affermato i ricercatori Acronis. "Questo riduce la barriera tecnica e consente sia ai gruppi consolidati che ai nuovi attori di gestire le proprie attività senza dover creare un ecosistema ransomware completo".
Secondo la società con sede a Singapore, il gruppo ransomware è affiliato a Scattered Spider, che funge da affiliato per raggiungere obiettivi di interesse tramite sofisticate tecniche di ingegneria sociale come spear-phishing e vishing, seguite dall'implementazione di strumenti di accesso remoto come ScreenConnect, AnyDesk, TeamViewer e Splashtop per condurre un'ampia ricognizione prima di eliminare DragonForce.
"DragonForce ha utilizzato il codice sorgente trapelato di Conti per forgiare un successore oscuro, creato per portare il proprio marchio", ha affermato. "Mentre altri gruppi hanno apportato alcune modifiche al codice per dargli un tocco diverso, DragonForce ha mantenuto tutte le funzionalità invariate, aggiungendo solo una configurazione crittografata nell'eseguibile per eliminare gli argomenti della riga di comando utilizzati nel codice Conti originale."
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube