كشفت تقارير أمنية حديثة عن حملة ابتزاز بيانات مستمرة تستهدف عملاء Salesforce، مع مؤشرات على أن الهجمات قد تتجه قريبًا نحو مزودي الخدمات المالية والتقنية، في ظل تعاون واضح بين مجموعتي ShinyHunters وScattered Spider.
تحول تكتيكي في نشاط ShinyHunters
وفقًا لشركة ReliaQuest، شهدت موجة الهجمات الأخيرة المنسوبة إلى ShinyHunters تحولًا كبيرًا في الأساليب، إذ تجاوزت المجموعة نشاطها السابق في سرقة بيانات الاعتماد واستغلال قواعد البيانات، لتتبنى تكتيكات مشابهة لـ Scattered Spider، مثل الهجمات الصوتية الاحتيالية (Vishing) والهندسة الاجتماعية، واستخدام تطبيقات متنكرة كأدوات شرعية، وصفحات تصيد مقلدة لشعار Okta لخداع الضحايا، بالإضافة إلى إخفاء هوية الاتصال عبر VPN لتهريب البيانات.
خلفية ShinyHunters وعلاقتها بـ BreachForums
ظهرت مجموعة ShinyHunters في عام 2020 كمجموعة تهديد مالي نفذت سلسلة من الاختراقات ضد شركات كبرى وباعت البيانات المسروقة عبر منتديات مثل RaidForums وBreachForums، حيث لعبت دورًا نشطًا كمساهم ومدير.
وأعادت المجموعة إطلاق المنتدى في يونيو 2023 بالشراكة مع Baphomet، ثم أطلقته منفردة في يونيو 2025، قبل أن يتوقف فجأة. تزامن ذلك مع اعتقال أربعة أشخاص يُشتبه في إدارتهم للمنتدى من قبل السلطات الفرنسية، بينهم ShinyHunters، لكن المجموعة أنكرت صحة هذه الاعتقالات.
ظهور قناة Telegram مشتركة وخطط برمجية خبيثة
في 8 أغسطس 2025، ظهرت قناة على Telegram تحت اسم scattered lapsu$ hunters جمعت بين أسماء ShinyHunters وScattered Spider وLAPSUS$، وزعمت أنها تطور خدمة Ransomware-as-a-Service تدعى ShinySp1d3r لمنافسة LockBit وDragonForce، قبل أن يتم حظر القناة بعد ثلاثة أيام.
كلا المجموعتين مرتبطتان بشبكة أوسع تُعرف باسم The Com، وهي شبكة إجرامية ناطقة بالإنجليزية تشتهر بعمليات تبديل شرائح SIM، والابتزاز، وجرائم ميدانية.
استهداف قطاعات جديدة عبر حملات تصيد منظمة
حددت ReliaQuest مجموعة من النطاقات الإلكترونية ذات طابع تذاكر الدعم وصفحات تصيد مخصصة لسرقة بيانات اعتماد Salesforce، باستخدام بنية تحتية مرتبطة بحزم تصيد تحاكي صفحات تسجيل الدخول الموحد (SSO) الخاصة بـ Okta، وهو أسلوب مميز لهجمات Scattered Spider.
كما أظهر تحليل أكثر من 700 نطاق مسجل عام 2025 أن استهداف الشركات المالية ارتفع بنسبة 12% منذ يوليو 2025، بينما انخفض استهداف شركات التقنية بنسبة 5%، مما يشير إلى أن البنوك وشركات التأمين والخدمات المالية ستكون أهدافًا قادمة.
أدلة على التعاون بين ShinyHunters و Scattered Spider
أشارت الأدلة إلى أن المجموعتين تستهدفان نفس القطاعات مثل البيع بالتجزئة والتأمين والطيران في نفس الفترات الزمنية، مع ظهور مستخدم على BreachForums باسم Sp1d3rHunters مرتبط باختراق سابق لـ ShinyHunters، وتداخل في أنماط تسجيل النطاقات، ما يدعم فرضية التعاون المستمر بين المجموعتين منذ أكثر من عام.
BreachForums يتحول إلى فخ أمني دولي
أعلنت ShinyHunters أن منتدى BreachForums أصبح تحت سيطرة وكالات إنفاذ القانون الدولية، بما في ذلك الشرطة الفرنسية BL2C ووزارة العدل الأمريكية DoJ ومكتب التحقيقات الفيدرالي FBI، محذرة من أن أي عودة للموقع ستكون فخًا أمنيًا، وأن الحسابات المرتبطة بها قد تم الاستيلاء عليها.
