2022年に有名になったLapsus$・2024年に有名になったScatted Spider・2025年に有名になったShinyHuntersの3グループがアライアンスを組んで、新たにScattered Lapsus$ Hunters(SLSH)としての活動を行っています。彼らは初期はshinysp1d3rと名乗っていた事でも知られています。
以下では、Scattered LAPSUS$ Hunters (SLH)についてまとめています。
shinysp1d3r / Scattered Lapsus$ Hunters
2025/08/08にTelegramにScattered Spider、LAPSUS$、ShinyHuntersのメンバーとブランドを集めたと主張する新しいTelegramチャンネルが出現し、「USFOODS JUST GOT POPPED BY DRITAN LOCKOUTS SHINYSP1D3R RAAS DEPLOYING NOW!!!!!!!!」というポストが行われました(このTelegramチャンネルは後に削除されています。)。
その後、2025/09にはGoogleへの声明・2025/10にはSalesforceへの声明に「Shiny Lapsus$ Hunters」として名乗っています。
BleepingcomputerによるShinyHuntersへのインタビューによると、ShinyHuntersは「アライアンス」や「co-operation(協力)」を示すために、今後Scattered LAPSUS$ Hunters(SLH)ブランド、つまりShinySp1d3rという名前で運営されるそうです。
Lapsus$
Lapsus$ Group (別名:DEV-0537, UNC3661)は、2021年12月以来、ポルトガルとブラジルの組織を積極的に標的にしており、2022年に入ってからは世界中を標的にしていました。
最終的に英国で18歳の男性が逮捕・起訴され、2023年にMicrosoft・Uber・NVIDIA・Rockstar Gamesなどの大企業を対象としたハッキングで有罪になっています。
Lapsus$に関しては、こちらのブログを参照してください。
Scatterd Spiders
Scattered Spidersは2023年ごろから活動を聞く様になり、最近では保険会社や航空関連にも攻撃を加えているかなり有名な脅威アクターです。
Scattered Spidersについての詳細は、当ブログのこちらの記事を参照してください。
Shiny Hunters
Shiny Huntersは、2020 年から活動が観測されている、金銭的利益を目的とするサイバー犯罪グループです。このグループは、企業、組織、政府機関など、幅広い標的に対して高度な攻撃を仕掛けることで知られています。ShinyHunters は通常、フィッシング攻撃やエクスプロイトキットを用いて被害者のネットワークにアクセスし、マルウェアを仕掛けて機密データを盗みます。
近年では、Vishing(Voice Phishing)などの高度なソーシャルエンジニアリング攻撃を用いて攻撃を仕掛けています。例えば IT サポートスタッフになりすまして従業員を騙して認証情報を開示させたり、悪意のあるファイルを実行させたりしています。
Shiny Huntersは直近ではSalesforce CRMを狙った攻撃で知られており、GoogleやLVM (Louis Vuitton, Dior, Tiffany & Co. などを参加に持つコングロマリット企業 ), Adidasなどが被害を受けています。
時系列
以下の時系列は、PICUSのものにBleepingcomputerの記事などを追加して調整したものです。
| 2025/08/08 | Telegramに「Scattered Spider、LAPSUS$、ShinyHuntersのメンバーとブランドを集めた」と主張する新しいTelegramチャンネルが出現 | PICUS |
| 2025/09/12 | FBIがSalesforceを狙った攻撃としてUNC6040(ShinyHunters)とUNC6395(Scatteres Spider)への注意喚起アラートをFBI Flashとして発行 | PICUS |
| 2025/09/15 | Googleへの攻撃が発覚した後、Scattered Lapsus$ Huntersがテレグラムで「GoogleのLERSポータルとFBIのeCheck身元調査システムの両方にアクセスした」と主張 | |
| 2025/09/17 | Scattered Lapsus$ Huntersが「going dark」と述べて、活動を鎮静化(闇に潜らせる)ことを表明 | PICUS |
| 2025/10/03 | Scattered Lapsus$ Huntersが新たに「extortionware」ポータルを公開。Salesloft Driftの侵害の影響を受けた組織を掲載する。 | PICUS |
技術情報
BleepingcomputerがShinySp1d3rの解析を行なっているので、そちらを参考に以下にまとめます。
- Bleepingcomputerは、VirusTotalにアップロードされたShinySp1d3rのサンプルを発見したそうです。
- Bleepingcomputerの解析によると、この暗号化ツールは、LockBitやBabukのようなオープンにされたコードを利用しておらず、ゼロから構築しているそうです。
なお、ShinySp1d3rによって暗号化されたファイルは以下の様になるそうです。
Bleepingcomputerの元記事には、ランサムウェア回復会社CovewareのアナリストとBleepingComputerとで分析を行った結果の機能概要が載っているので、参考にしてください。
参考情報
- PICUS: Scattered LAPSUS$ Hunters: 2025’s Most Dangerous Cybercrime Supergroup
- Bleepingcomputer: Google confirms fraudulent account created in law enforcement portal
- Bleepingcomputer: Meet ShinySp1d3r: New Ransomware-as-a-Service created by ShinyHunters
- Bleepingcomputer: ShinyHunters launches Salesforce data leak site to extort 39 victims
- SIOS: 2022Q1セキュリティ脅威動向まとめ
- SIOS: 2023Q3 サイバー攻撃関連
- hwdream: Scattered Spiderについて
- Cybertrust: Salesforce CRM を狙った Vishing 攻撃
- FBI: Cyber Criminal Groups UNC6040 and UNC6395 Compromising Salesforce Instances for Data Theft and Extortion
