Группа хакеров ShinyHunters, почти год находившаяся в тени, возобновила активность масштабными атаками на платформу Salesforce, затронувшими ряд крупных корпораций, включая Google. По данным исследования ReliaQuest Threat Research Team, проведенного аналитиками Кимберли Бромли и Иваном Риги, новая кампания демонстрирует тревожное сходство с методами другой известной группировки - Scattered Spider. Это породило серьезные подозрения в их возможной коллаборации, способной изменить ландшафт киберугроз.
После ареста четырех участников в июне 2024 года активность ShinyHunters, специализировавшейся на массовых утечках данных и их монетизации на форумах вроде BreachForums, практически прекратилась. Единственным исключением стал инцидент с образовательным ПО PowerSchool в декабре 2024 года. Однако летом 2025 года группа атаковала Salesforce, используя нехарактерные для себя методы. Вместо привычного скрытого сбора учетных данных и эксплуатации баз данных ShinyHunters применили целенаправленные фишинг и вишинг-кампании, имитируя сотрудников ИТ-поддержки. Злоумышленники убеждали жертв авторизовать доступ к вредоносным "подключенным приложениям" в Salesforce, маскирующимся под легитимные инструменты, а также использовали фишинговые страницы, стилизованные под Okta, и VPN Mullvad для сокрытия эксфильтрации данных.
Именно эти тактики являются визитной карточкой Scattered Spider - группы, известной сложными атаками с применением социальной инженерии, включая регистрацию доменов-имитаций (например, companyname-okta[.]com) для фишинга. Их основной фокус - высокодоходные сектора: ритейл, технологии и финансы. Обе группы также связывают с более широким коллективом "The Com", объединяющим технически подкованных англоговорящих хакеров.
![Фишинговая страница Okta, размещенная на ticket-dior[.]com в июне 2025 г.](https://1275.ru/wp-content/uploads/2025/08/fishingovaya-stranitsa-okta-razmeschennaya-na-ticket-dior.com-v-iyune-2025-g.png)
Доказательства возможного сотрудничества. Исследователи ReliaQuest обнаружили несколько косвенных, но значимых свидетельств альянса:
- В июне-июле 2025 года был зарегистрирован кластер доменов ("ticket-lvmh[.]com", "ticket-dior[.]com", "ticket-louisvuitton[.]com"), использующих формат, характерный для Scattered Spider (ключевые слова с дефисами). Все они были зарегистрированы через GMO Internet с временными email-адресами и Cloudflare-маскированными серверами имен, вели на фишинговые страницы Okta, оформленные как "Ticket Dashboard", и совпадали по инфраструктуре с фишинговыми наборами, применяемыми Scattered Spider. Регистрация произошла незадолго до утечки данных у Louis Vuitton 2 июля, которую некоторые СМИ связали с ShinyHunters.
- на платформе BreachForums в мае 2024 года появился пользователь "Sp1d3rhunters" (комбинация названий обеих групп). В июле этот аккаунт опубликовал данные, связанные со взломом Ticketmaster, ранее анонсированным ShinyHunters. Позже в Telegram угроза под тем же псевдонимом, утверждающая связь с ShinyHunters, заявила, что группы "одни и те же". Если эти связи подтвердятся, сотрудничество могло длиться более года.
- Анализ секторального таргетинга показал синхронность атак ShinyHunters и Scattered Spider в 2025 году: розничная торговля (апрель-май), страхование (июнь-июль), авиация (июнь-август). Ранее ShinyHunters действовали менее согласованно.
- Финансовый сектор и технологии - следующие цели. Исследование выявило новые домены, нацеленные на Salesforce ("companyname-my-salesforce[.]com", "keyword-salesforce[.]com"), включая активную фишинговую страницу на "dashboard-salesforce[.]com" (зарегистрирован 1 августа 2025 г.). Паттерны регистрации идентичны тактике Scattered Spider. Более широкий анализ более 700 подозрительных доменов за 2025 год выявил сдвиг в приоритетах злоумышленников. Если в начале года основными целями были компании профессиональных, научных и технических услуг (PSTS), то с июля таргетинг финансового сектора вырос на 12%, а технологических компаний - снизился на 5%. Это указывает на растущий интерес финансово мотивированных групп, подобных ShinyHunters, к банкам, страховым и финтех-компаниям. При этом технологические провайдеры (Salesforce, Okta) остаются в зоне риска из-за ценности данных. США остаются главной географической мишенью.
Возвращение ShinyHunters с усложнившимися методами, потенциально усиленными сотрудничеством с Scattered Spider, представляет значительную угрозу. Организациям, особенно в финансовом секторе и технологиях, необходимо срочно пересмотреть защитные стратегии, делая ставку на обнаружение поведенческих аномалий и укрепление "человеческого фактора".
