نشأت مجموعة جديدة تجمع ثلاثًا من أبرز التشكيلات الإجرامية السيبرانية — Scattered Spider وLAPSUS$ وShinyHunters — وأنشأت منذ 8 أغسطس 2025 ما لا يقل عن 16 قناة على تيليغرام تبرز نمطًا من التنقل المستمر بين إغلاق القنوات وإعادة إنشائها، بحسب تقرير صادر عن Trustwave SpiderLabs شاركته مع The Hacker News. تعكس هذه الديناميكية حرص المشغلين على الحفاظ على حضور علني تسويقي وتنسيقي رغم محاولات إزالة قنواتهم.
ولادة كيان موحّد وخدمات الابتزاز
انبثق كيان Scattered LAPSUS$ Hunters (SLH) في أوائل أغسطس مع شن حملات انتزاع بيانات وابتزاز تستهدف مؤسسات عدة، من بينها ضحايا مرتبطون بمنصّة Salesforce مؤخرًا. أحد عروض المجموعة الأساسية هو الابتزاز كخدمة (Extortion-as-a-Service — EaaS)، حيث يمكن لجهات تابعة الانضمام لعلامة المجموعة والمطالبة بدفعات مقابل استغلال سمعة الكيان الموحد لزيادة الضغوط على الضحايا. تستمر سرقة البيانات والابتزاز كأنشطة أساسية، مع تحوّل واضح نحو نمط يجمع بين الربح والظهور الإعلامي.
تيليغرام: منصة تنسيق وترويج
لا تزال تيليغرام المنصة المركزية لتنسيق عمليات المجموعة وإضفاء الضجيج الإعلامي على أنشطتها، حيث تُستَخدم القنوات كـ”مكبر صوت” لبث رسائل التهديد وإعلان الخدمات. مع نضوج النشاط، ظهرت منشورات إدارية تحمل توقيعات تشير إلى ما سُمّي بـ«مركز عمليات SLH/SLSH»، تسمية تمنح الاتصالات المجزأة مسحة تنظيمية بيروقراطية وتساعد في إدارة الانطباع العام. كما استخدمت القنوات لاتهام جهات فاعلة حكومية (مثل الصين) ولقذف اتهامات للشرطة الأمريكية والبريطانية، ولحث المتابعين على المشاركة بحملات ضغط مدفوعة تستهدف عناوين بريد كبار التنفيذيين مقابل رسم لا يقل عن 100 دولار.
تحالفات فنية وهوية تشغيلية موحّدة
جمع التحالف تحت مظلته العديد من العناقيد والهوية الافتراضية: منسّقون مثل Shinycorp (sp1d3rhunters)، ووحدات معروفة برموز كالـ UNC5537 وUNC3944 وUNC6040، إلى شخصيات إدارية مثل Rey وSLSHsupport، ومزوّدو الوصول الأولي أمثال yuka (Yukari/Cvsp) الذين يقدّمون استغلالات أولية وأدوات وصول. هذا التجميع يعزز القدرة على مزج الهندسة الاجتماعية وتطوير الثغرات وعمليات السرد الإعلامي ضمن بنية تشبه المشروع التجاري اللامركزي، ما يجعل سلوكهم أقرب لجهات إجرامية منظمة من كونه مجموعات انتهازية متناثرة.
مؤشرات توسع نحو برامج فدية وتهديدات تقنية متقدمة
ألمح الفاعلون إلى عائلة برامج فدية محتملة تحمل اسم Sh1nySp1d3r (ShinySp1d3r) لمنافسة عائلات مثل LockBit وDragonForce، ما يشي بإمكانية انتقالهم من الابتزاز وسرقة البيانات إلى هجمات فدية منظمة. في الوقت نفسه، رصدت تقارير أخرى (مثل Acronis) تزايد استخدام تكتيكات متقدمة مثل هجمات BYOVD (Bring Your Own Vulnerable Driver) التي تستغل برامج تشغيل ضعيفة مثل truesight.sys وrentdrv2.sys لتعطيل برامج الأمان وإنهاء العمليات المحمية — سلوك ينسجم مع توجهات “تكتل” مجموعات الفدية التي تتشارك تقنيات وبنى تحتية لدعم جهات تابعة متعددة.
