Sự hợp nhất của ba nhóm tác nhân mối đe dọa mạng khét tiếng – Scattered Spider, ShinyHunters và LAPSUS$ – đã tạo nên một tập thể liên kết mới có tên gọi Scattered LAPSUS$ Hunters (SLH) vào đầu tháng 8 năm 2025. Liên minh chiến lược này đánh dấu sự chuyển đổi từ các hoạt động đơn lẻ truyền thống, hình thành một mô hình đe dọa tinh vi. Mô hình này kết hợp danh tiếng từ các nhóm đã thành lập với cấu trúc vận hành được tinh chỉnh, nhằm duy trì tầm ảnh hưởng và doanh thu bất chấp áp lực từ cơ quan pháp luật và các nỗ lực kiểm duyệt nền tảng.

SLH hoạt động chủ yếu thông qua Telegram, sử dụng nền tảng liên lạc mã hóa này không chỉ như một công cụ phối hợp mà còn là kênh tiếp thị hiệu quả. Trên đó, các khả năng vận hành, thông báo về vi phạm dữ liệu và quá trình khai thác nạn nhân được dàn dựng cẩn thận để tạo ra tác động tâm lý tối đa.

Chiến Lược Vận Hành và Sự Nổi Lên Của SLH

Việc sử dụng chiến lược “diễn xuất xã hội” (social performance) kết hợp với các mục tiêu tội phạm mạng truyền thống, SLH định vị mình trong một không gian hoạt động độc đáo. Điều này pha trộn giữa sự kịch tính chú trọng vào sự chú ý và các chiến thuật tống tiền có tính toán, nhắm mục tiêu vào các doanh nghiệp giá trị cao, bao gồm Salesforce và các nhà cung cấp dịch vụ SaaS khác.

Bối Cảnh Ra Đời

Sự hình thành của SLH trùng hợp với những gián đoạn đáng kể trên thị trường tội phạm mạng. Sự sụp đổ của BreachForums, một trung tâm lịch sử để phân phối dữ liệu rò rỉ và tuyển dụng tác nhân đe dọa, đã tạo ra một khoảng trống vận hành. SLH đã lấp đầy khoảng trống này một cách chiến lược bằng cách hấp thụ các đối tượng khán giả bị phân mảnh và tái tạo tài sản danh tiếng từ các tập thể đã ngừng hoạt động.

Kênh Telegram đầu tiên được xác minh của nhóm xuất hiện vào ngày 8 tháng 8 năm 2025. Ngay lập tức, nó báo hiệu sự tích hợp với mạng lưới “The Com” rộng lớn hơn – một hệ sinh thái tội phạm mạng không chính thức đặc trưng bởi sự hợp tác linh hoạt và chia sẻ thương hiệu giữa các nhà khai thác có liên kết lỏng lẻo.

Tính Bền Vững và Cấu Trúc Tổ Chức

Kể từ khi thành lập, sự hiện diện của SLH trên Telegram đã trải qua ít nhất mười sáu chu kỳ nền tảng, với các kênh liên tục bị xóa và tạo lại dưới các tên gọi thay đổi, bao gồm “scattered LAPSUS$ hunters 7.0”. Khả năng phục hồi thích ứng này thể hiện sự trưởng thành trong tổ chức và kỷ luật vận hành phối hợp.

Điều này cho thấy rằng, mặc dù các danh tính cá nhân bị phân mảnh, việc ra quyết định vận hành cốt lõi vẫn được tập trung và có tính chiến lược chặt chẽ. Bằng chứng chỉ ra rằng chưa đến năm cá nhân điều hành hoạt động chính, với “shinycorp” hoạt động dưới các biệt danh bao gồm @sp1d3rhunters và @shinyc0rp đóng vai trò điều phối viên chính. Các nhân vật phụ trợ bao gồm “Alg0d,” “yuka,” và “UNC5537” khuếch đại phạm vi tiếp cận và hoạt động.

Khả Năng Kỹ Thuật và Phương Thức Tấn Công

Điều khiến SLH khác biệt so với các nhóm tội phạm mạng mới nổi là trình độ kỹ thuật tinh vi được thể hiện qua việc phát triển công cụ khai thác (exploit development), môi giới lỗ hổng (vulnerability brokerage) và các cơ chế duy trì quyền truy cập có mục tiêu. Tập thể này thể hiện chuyên môn đặc biệt trong việc nhắm mục tiêu vào:

• Cơ sở hạ tầng đám mây (cloud infrastructure)
• Các nền tảng SaaS (Software-as-a-Service)
• Hệ thống cơ sở dữ liệu

Các cuộc tấn công mạng này thường được thực hiện thông qua thu thập thông tin đăng nhập, chủ yếu tận dụng các chiến dịch vishing và spearphishing tự động bằng AI. Sau đó là di chuyển ngang nhanh chóng, leo thang đặc quyền và đánh cắp dữ liệu.

Vấn Đề Lỗ Hổng và Khai Thác

Đáng chú ý, nhân vật “yuka” (còn được biết đến là Yukari hoặc Cvsp) mang đến khả năng phát triển công cụ khai thác đáng tin cậy. Người này có các mối liên hệ lịch sử bao gồm BlackLotus UEFI bootkit và Medusa rootkit. Các tuyên bố liên kết SLH với nhiều cuộc khai thác lỗ hổng zero-day, bao gồm CVE-2025-61882 (Oracle E-Business Suite) – một lỗ hổng đã được nhóm ransomware Cl0p khai thác trước đây – cho thấy sự rò rỉ mã trực tiếp, thỏa thuận chia sẻ exploit, hoặc các mạng lưới môi giới lỗ hổng tinh vi nhằm tăng cường tác động hoạt động của tập thể. Độc giả có thể tham khảo thêm về các lỗ hổng liên quan tại phân tích từ Trustwave.

Ngoài hành vi trộm cắp dữ liệu truyền thống, SLH còn chính thức ghi nhận mô hình Extortion-as-a-Service (EaaS). Điều này chính thức hóa vị trí thị trường và cho phép tuyển dụng các thành viên liên kết. SLH cũng thể hiện khả năng phát triển và mua lại công cụ khai thác đáng kể, bao gồm các công cụ giống với nghiên cứu lỗ hổng zero-day nhắm mục tiêu cụ thể vào CRM, DBMS và các nền tảng SaaS. Các kênh Telegram của nhóm tích cực kêu gọi cả khách hàng hoạt động và những người tham gia tự do cho các chiến dịch gây áp lực, hoạt động doxing và quấy rối có mục tiêu, giới thiệu các mô hình tống tiền được crowdsourced làm mờ đi sự phức tạp hoạt động và phân tán khả năng quy kết.

Tác Động và Triển Vọng Tương Lai Của Mối Đe Dọa Mạng Này

Khi SLH củng cố vị thế của mình trong suốt năm 2026, mô hình hoạt động lai ghép của họ sẽ định hình quỹ đạo của hoạt động tội phạm mạng có tổ chức. Mô hình này kết hợp khả năng kỹ thuật tinh vi với quản lý thương hiệu kịch tính, ưu tiên kiểm soát tường thuật, khả năng phục hồi hoạt động và sự tương tác của khán giả như những tài sản chiến lược tương đương với năng lực kỹ thuật.

Sự nổi lên của SLH cho thấy một xu hướng đáng lo ngại về việc hợp nhất các nhóm mối đe dọa mạng, tạo ra các thực thể có khả năng cao hơn để thực hiện các cuộc tấn công mạng quy mô lớn và phức tạp. Các tổ chức cần tăng cường khả năng phòng thủ trước những mối đe dọa mạng đang phát triển này. Việc hiểu rõ các chiến thuật, kỹ thuật và quy trình (TTPs) của SLH là cực kỳ quan trọng để phát triển các chiến lược an ninh mạng hiệu quả. Việc liên tục theo dõi các kênh thông tin tình báo về mối đe dọa mạng là cần thiết để đối phó kịp thời với các biến thể và phương thức tấn công mới.

Các chuyên gia bảo mật cần đặc biệt chú ý đến các dấu hiệu về hoạt động thu thập thông tin đăng nhập thông qua vishing và spearphishing, cũng như các nỗ lực leo thang đặc quyền và di chuyển ngang trong hệ thống. Việc triển khai các bản vá bảo mật kịp thời và cập nhật hệ thống là biện pháp cơ bản để giảm thiểu rủi ro từ các lỗ hổng zero-day và các lỗ hổng đã biết mà các nhóm như SLH có thể khai thác. Các giải pháp phát hiện xâm nhập (IDS) và hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) cần được cấu hình để nhận diện các hoạt động đáng ngờ liên quan đến các TTPs của SLH. Đây là một mối đe dọa mạng cần được theo dõi sát sao.