Các nhà phân tích từ EclecticIQ đánh giá với mức độ tin cậy cao rằng nhóm ShinyHunters đang mở rộng hoạt động của mình. Sự bành trướng này bao gồm việc kết hợp các hình thức mối đe dọa mạng như tấn công lừa đảo bằng giọng nói (vishing) hỗ trợ bởi AI, khai thác chuỗi cung ứng, và lợi dụng các nhân sự nội bộ độc hại để tiếp cận trực tiếp mạng lưới doanh nghiệp. Nhóm rất có thể đang dựa vào các thành viên của Scattered Spider và The Com để thực hiện các cuộc tấn công vishing.

Các cuộc tấn công này nhằm mục đích đạt được quyền truy cập trái phép vào các nền tảng đăng nhập một lần (SSO) được sử dụng bởi các công ty bán lẻ, hàng không và viễn thông. Sau khi xâm nhập, ShinyHunters sẽ trích xuất lượng lớn dữ liệu khách hàng và tống tiền các tổ chức nạn nhân.

Chiến thuật Tấn công Đa chiều của ShinyHunters

Tấn công Lừa đảo bằng Giọng nói (Vishing) có Hỗ trợ AI

Các chi nhánh của ShinyHunters đã tăng cường các hoạt động vishing bằng cách sử dụng các dịch vụ VoIP như Twilio, Google Voice và 3CX. Nhóm cũng tận dụng các nền tảng AI hợp pháp, bao gồm Vapi và Bland, để tự động hóa các cuộc gọi social engineering.

Mô hình ngôn ngữ lớn (LLM) của Bland tạo ra các lộ trình hội thoại động. Các lộ trình này được điều chỉnh theo thời gian thực dựa trên phản ứng của nạn nhân. Đồng thời, các kiểu giọng nói có thể cấu hình được bắt chước giọng địa phương và giới tính, nâng cao độ tin cậy của cuộc gọi.

Các nhà phân tích đánh giá rằng các thành viên của Scattered Spider thực hiện hầu hết các cuộc gọi vishing. Tuy nhiên, ShinyHunters thuê ngoài khả năng vishing bổ sung cho các “trung tâm cuộc gọi” hoặc bot Telegram P1, những hệ thống này tự động hóa các cuộc tấn công dựa trên mẫu.

Sự kết hợp giữa quản lý đối thoại AI và giọng nói tổng hợp gần như thật cho phép các chi nhánh của ShinyHunters tiến hành các chiến dịch vishing ở quy mô chưa từng có. Đây là một hình thức tấn công mạng tinh vi đang gây ra nhiều rủi ro.

Khai thác Chuỗi Cung ứng và Lỗ hổng Insider

ShinyHunters nhắm mục tiêu vào các tài khoản kỹ thuật có đặc quyền cao trên các nền tảng kiểm soát phiên bản Git, BrowserStack, JFrog và các nền tảng quản lý dự án đám mây. Mục đích là để xâm nhập vào các quy trình CI/CD.

Quyền truy cập này rất có thể nhằm mục đích thực hiện các cuộc tấn công chuỗi cung ứng. Đây là một chiến thuật được ShinyHunters ưa chuộng, cho phép các tác nhân đe dọa thỏa hiệp hàng ngàn hệ thống doanh nghiệp thông qua một điểm truy cập duy nhất trong chuỗi cung ứng phần mềm.

Vào ngày 31 tháng 8 năm 2025, kênh Telegram “scattered LAPSUS$ hunters 4.0” do ShinyHunters điều hành đã đăng một tin nhắn tuyển dụng. Tin nhắn này đưa ra phần thưởng tài chính cho nhân viên trong các lĩnh vực tài chính, bảo hiểm, hàng không, viễn thông và các lĩnh vực khác, đổi lấy việc cung cấp quyền truy cập vào Okta, Microsoft SSO, Citrix VPN hoặc nền tảng Git. Sự phụ thuộc vào các nhân sự nội bộ đáng tin cậy này nhấn mạnh một rủi ro đáng kể, đó là việc bỏ qua các biện pháp phòng thủ doanh nghiệp thông qua các kênh hợp pháp.

Đánh cắp và Tống tiền Dữ liệu

Các bảng điều khiển Salesforce CRM bị xâm nhập cho phép trích xuất dữ liệu hàng loạt và di chuyển ngang sang Okta, Microsoft 365 và Amazon S3. Đây là một phương thức phổ biến trong các cuộc tấn công mạng nhằm thu thập thông tin nhạy cảm.

Trong các chiến dịch gần đây chống lại các lĩnh vực hàng không và bán lẻ, ShinyHunters đã trích xuất các tập dữ liệu lên tới 26 GB tài khoản người dùng, 16 GB hồ sơ liên hệ, 5.5 GB nhật ký email và nhiều hơn nữa. Nhóm sử dụng chia sẻ tệp LimeWire để rò rỉ các mẫu dữ liệu, gây áp lực buộc nạn nhân phải trả các khoản tiền chuộc bảy chữ số.

Các nhà phân tích đã xác định rằng ShinyCorp, thủ lĩnh của ShinyHunters, đang bán dữ liệu hàng không bị đánh cắp với giá lên tới 1 triệu USD cho mỗi công ty thông qua các kênh Telegram và qTox. Tình trạng rò rỉ dữ liệu này đặt ra thách thức lớn về bảo mật.

Phát triển Nền tảng Ransomware-as-a-Service (RaaS)

Shinysp1d3r và Mục tiêu VMware ESXi

Các nhà phân tích của EclecticIQ đã quan sát thấy sự phát triển của ‘shinysp1d3r’, một nền tảng Ransomware-as-a-Service (RaaS) được thiết kế để mã hóa các môi trường VMware ESXi. Dịch vụ này nhằm mục tiêu vào các máy chủ ảo hóa, cho phép các chi nhánh triển khai mã độc tống tiền trực tiếp chống lại cơ sở hạ tầng hypervisor.

Một nguồn tin đáng tin cậy đã thảo luận về các cuộc tấn công tương tự vào môi trường VMware ESXi, nhấn mạnh mức độ nghiêm trọng của mối đe dọa này: BlackByte Hackers Exploiting VMware ESXi.

Khi đi vào hoạt động, RaaS này có thể tăng đáng kể phạm vi tiếp cận của ShinyHunters về mã độc tống tiền và làm phức tạp quá trình phục hồi của doanh nghiệp. Các nhà phân tích đánh giá với mức độ tin cậy trung bình rằng sự phát triển này nhằm mục đích tuyển dụng các chi nhánh mới và mở rộng sản lượng tống tiền bằng cách nhắm mục tiêu vào các môi trường ảo hóa có giá trị cao.

Các Biện pháp Phòng thủ và Giảm thiểu Rủi ro

Tăng cường Bảo mật Định danh và Truy cập

Các tổ chức cần thực thi kiểm soát truy cập nghiêm ngặt và giám sát chặt chẽ trên các ứng dụng tích hợp SSO. Cần kiểm toán các quyền xuất dữ liệu hàng loạt và áp dụng các nguyên tắc đặc quyền tối thiểu.

Việc tăng cường bảo mật các nền tảng SSO như Salesforce, Okta và Microsoft 365 thông qua truy cập Just-In-Time và các hạn chế dựa trên IP là rất cần thiết. Những biện pháp này giúp giảm thiểu rủi ro từ các cuộc tấn công mạng.

Giám sát và Phát hiện Bất thường

Giám sát và phát hiện bất thường bằng cách sử dụng các công cụ SIEM và SOAR. Các công cụ này phải có khả năng gắn cờ các hoạt động xuất dữ liệu lớn và các sự kiện xác thực đa yếu tố (MFA) bất thường.

Đào tạo Nhân viên và Đánh giá Rủi ro Nội bộ

Đào tạo nhân viên cần bao gồm các buổi mô phỏng vishing hỗ trợ bởi AI. Ngoài ra, cần có các thách thức xác minh nội bộ cho các yêu cầu có rủi ro cao và nâng cao nhận thức về rủi ro mệt mỏi MFA. Điều này giúp tăng cường an ninh mạng.

Các kịch bản đe dọa nội bộ cần được tích hợp vào các mô hình đe dọa, kết hợp với triển khai honeypot để phát hiện hoạt động nội bộ đáng ngờ. Khi ShinyHunters tiếp tục đổi mới với social engineering hỗ trợ AI, các thỏa hiệp chuỗi cung ứng và các dịch vụ RaaS chuyên biệt như ‘shinysp1d3r’, các tổ chức phải áp dụng tư thế phòng thủ nhiều lớp.

Tư thế này kết hợp các biện pháp kiểm soát kỹ thuật với các biện pháp bảo mật lấy con người làm trung tâm mạnh mẽ.