“Làn sóng tấn công mới nhất do ShinyHunters thực hiện cho thấy sự thay đổi đáng kể về chiến thuật, vượt ra ngoài hành vi đánh cắp thông tin đăng nhập và khai thác cơ sở dữ liệu trước đây của nhóm này”, báo cáo cho biết.

ShinyHunters sử dụng các kỹ thuật tấn công tương tự như Scattered Spider, chẳng hạn như vishing (hay còn gọi là lừa đảo qua giọng nói) và các cuộc tấn công kỹ nghệ xã hội, lợi dụng các ứng dụng ngụy trang thành công cụ hợp pháp và các trang lừa đảo mạo danh Okta, nhằm mục đích đánh lừa nạn nhân điền thông tin đăng nhập để đánh cắp dữ liệu.

Được biết, nhóm tin tặc ShinyHunters xuất hiện lần đầu vào năm 2020, là một nhóm tấn công mạng hoạt động vì mục đích tài chính, đã thực hiện một loạt vụ xâm phạm dữ liệu nhắm vào các tập đoàn lớn và rao bán trên các diễn đàn tin tặc như RaidForums và BreachForums. Điều thú vị, ShinyHunters là một thành viên chủ chốt trên các nền tảng này với tư cách là người đóng góp và quản trị.

Vào ngày 8/8, một kênh Telegram mới kết hợp giữa ShinyHunters, Scattered Spider và LAPSUS$ mang tên “scattered lapsu$ hunters” đã xuất hiện, trong đó các thành viên cũng tuyên bố đang phát triển một giải pháp mã độc tống tiền có tên ShinySp1d3r, được cho là sẽ cạnh tranh với LockBit và DragonForce. Ba ngày sau, kênh này đã bị Telegram cấm và xóa.

Cả Scattered Spider và LAPSUS$ đều có liên hệ với một nhóm khác có tên là The Com, một mạng lưới khét tiếng gồm những tên tội phạm mạng nói tiếng Anh giàu kinh nghiệm, được biết đến với việc tham gia vào nhiều hoạt động độc hại như tống tiền. Theo nền tảng tình báo mối đe doạ FalconFeeds nhận định, mối liên hệ của các tin tặc với các thực thể đã biết như Scattered Spider và ShinyHunters cho thấy đây không hẳn là một nhóm mới, mà là một sự đổi tên và hợp nhất của các tác nhân đe dọa hiện có, nhằm ứng phó với sức ép gần đây của lực lượng thực thi pháp luật.

ReliaQuest cho rằng đã xác định được một tập hợp tên miền lừa đảo, theo đó các tên miền này được đăng ký bằng cơ sở hạ tầng thường liên quan đến các công cụ thường được sử dụng để lưu trữ các trang đăng nhập một lần (SSO) - một dấu hiệu đặc trưng của các cuộc tấn công của Scattered Spider giả mạo các trang đăng nhập Okta.

Hơn nữa, một phân tích trên hơn 700 tên miền được đăng ký vào năm 2025 trùng khớp với các mẫu lừa đảo của Scattered Spider, đã tiết lộ rằng các đăng ký tên miền nhắm mục tiêu vào các công ty tài chính đã tăng 12% kể từ tháng 7 năm 2025, trong khi mục tiêu nhắm vào các công ty công nghệ giảm 5%, cho thấy ngành ngân hàng, công ty bảo hiểm và dịch vụ tài chính có thể là mục tiêu tiếp theo.

Bỏ qua sự chồng chéo về mặt chiến thuật, việc hai nhóm này có thể hợp tác được chứng minh bởi thực tế là họ đã nhắm mục tiêu vào cùng một lĩnh vực (bán lẻ, bảo hiểm và hàng không) vào cùng một thời điểm.

Các nhà nghiên cứu Kimberley Bromley và Ivan Righi cho biết: “Bằng chứng ủng hộ cho giải thuyết này là sự xuất hiện của một người dùng BreachForums có bí danh Sp1d3rHunters, người này có liên quan đến vụ xâm nhập ShinyHunters trước đây, cũng như các mẫu đăng ký tên miền trùng lặp”, đồng thời cho biết thêm rằng tài khoản này được tạo vào tháng 5/2024. Điều này cho thấy manh mối gợi ý về mối quan hệ đã tồn tại hơn một năm.

Sau khi 4 nghi phạm liên quan BreachForums bị bắt tại Pháp, ShinyHunters tuyên bố diễn đàn đã bị cảnh sát Pháp, Bộ Tư pháp Mỹ và FBI kiểm soát, biến thành “honeypot” để theo dõi tội phạm mạng. Chúng đưa ra cảnh báo cho các đồng minh rằng bất kỳ phiên bản nào của BreachForums xuất hiện lại đều có thể là bẫy của lực lượng chức năng.

Vụ việc ShinyHunters và Scattered Spider hợp tác là hồi chuông cho thấy tội phạm mạng đang liên kết để mạnh hơn và khó bị đối phó hơn. Với Việt Nam, đây là cảnh báo sớm cho các doanh nghiệp đang dùng dịch vụ điện toán đám mây, đặc biệt là Salesforce hoặc các nền tảng có đăng nhập SSO.