Scattered LAPSUS$ Hunters

几天前，“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现，且无法确定其背后是什么人在运营，当时据称“由于持续的技术问题和大规模DDoS攻击”，该论坛仅可访问，但无法登录。目前，该论坛已经可以在明网正常登录发贴，但暗网地址依旧无法访问。 此外，威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕，为警方打击提供了更多的便利。 新BreachForums再次恢复了访问 正如前期介绍，新的BreachForums使用之前公开泄露的BreachForums备份进行搭建，因此前期的BreachForums用户均无需注册即可访问。 在技术问题和大规模DDoS攻击问题解决之后，新的BreachForums再次开放访问，该论坛目前添加了DDOS-GUARD来防护DDoS攻击，在明网访问的速度还不错。 虽然许多传言显示新BreachForums是蜜罐，但由于缺少有力的竞争对手，该论坛依旧收获了大量粉丝。从论坛的在线状态看，一小时在线用户1000人，注册用户占1/5，在没有大规模推广的背景下，已经收获了相当大的人气。 上次已经介绍，新的BreachForums发布的明网与暗网地址如下（仅供网络安全研究人员与警方调查研究使用）： 明网地址：breachforums[.]bf 暗网地址：http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion 威胁行为者之间的内讧刚刚开始 上次已经介绍，在新BreachForums背后，至少有两波人在交战：一方自称是闪光猎人（ShinyHunters），另一方则是散落的拉普斯猎人（Scattered Lapsus$ Hunters，简称SLSH）。 黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters（简称SLSH）的内部冲突正在升级，一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理，时间线如下： 2025年10月16日：网站发布消息，直接威胁名为“James”的法国人（疑似代号S.E./X*K）。消息声称真正的ShinyHunters正在完成FBI未竟的事业，语气敌对，这是威胁行为者之间首次公开升级。 2025年10月21日：发布一封信件风格的消息，针对“James”，警告他选择的道路带来的后果比想象中更严重，断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”（世间荣华转瞬即逝），并警告每一步行动都将引发远超预期的连锁反应。 2025年12月14日：否认与#SLSH（Scattered LAPSUS$ Hunters）联盟的传闻。同时链接BreachForums重启（可能试图为疑似蜜罐操作正名）。威胁如果James不回应，将在24小时内公开曝光其信息。 2025年12月18日：发布详细的PGP签名声明，附带倒计时器和逮捕照片（涉及Yuro，即A.E.，以及Trihash，即R.L.）。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥，并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称，归咎于ShinyHunters与SLSH的勒索事件，主要由S.E.（别名X*K，亦使用化名“James”）策划实施，他已不再是ShinyHunters（SH）成员。 —–BEGIN PGP SIGNED MESSAGE—– Hash: SHA256 Statement Regarding the Shiny Hunters and Scattered Spider Groups The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.

周末，Scattered LAPSUS$ Hunters团伙的暗网洋葱网站突然显示了被FBI查封的图片，图片与其明网网站Breachforums[.]hn本月上旬被FBI查封后展示的图片相同。如果属实，则证明该团伙的暗网基础设施也已经被FBI扣押，服务器与数据库以及文件均被执法机构掌握。但目前业界普遍认为这是Scattered LAPSUS$ Hunters团伙自导自演的恶作剧。 回顾FBI设置的Breachforums[.]hn被扣押页面源码（省略图片的data信息与javascript引用信息）： <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=windows-1252"> <title>This Domain Has Been Seized</title> </head> <body style="background-color: black;"> <p><img border="0" alt="This domain has been seized." src="data:image/png;base64,……"（省略data信息） width="auto" height="100%" style="display: block; object-fit: contain; margin-left: auto; margin-right: auto";/p> </body> </html> 目前洋葱域名展示的被扣押页面源码： <html lang="en"><head> <meta charset="UTF-8"> <title>Seized</title> <style> html, body { margin: 0; padding: 0; height: 100%; background-color: black; } body { display: flex; justify-content: center; align-items: center; } img { max-width: 100%; max-height: 100%; object-fit: contain; } </style> </head> <body> <img src="

多次承诺要如期公布，并且暗网网站在倒计时，时间到了怎能不公布，Scattered LAPSUS$ Hunters勒索软件团伙给大家示范了什么才能做到“既当又立”，10日至11日，该团伙磨磨唧唧地泄露了6名受害者的数据，并且同步在叫嚣与威胁。 10月10日，Scattered LAPSUS$ Hunters勒索软件团伙在Telegram发布公告，称其自动化系统将首先在美东时间晚上11点59分泄露澳洲航空有限公司的数据库。此前已有数家公司因拒绝支付费用而遭泄露——因此短暂停歇数分钟，是让澳大利亚民众有时间消化这份恐惧、创伤与愧疚：他们的政府选择守护自身虚荣与尊严，而非保护公民安全。 10月10日，该团伙继续称，实在不忍心让数千甚至更多等待泄密消息的人失望——这些消息本就迫在眉睫，于是该团伙正在重新筛选即将被曝光的企业名单。由于团队半数成员此刻正酣睡在床上，又由于几分钟前上级突然标记了某些事项，未经批准无法继续推进工作。基于此，我们决定采取最佳方案：将泄密时间稍作延后。相关企业数据仍将如期于10月11日曝光。 10月11日，该团伙终于公布了其中6家受害公司的数据： albertsons.com gap.com engieresources.com fujifilm.com qantas.com vietnamairlines.com 虽然有很多人都在问还会泄露什么，但该团伙表示他们不会再有其他泄露了。所有该泄露的都泄露了，没有其他东西可泄露，而且显然他们掌握的东西出于显而易见的原因不能泄露。 此外，该团伙称，由于洋葱网络正承受着海量流量的压力，暗网数据泄露网站现已同步开放至明网：https://shinyhunte[.]rs，“暗网下/AWX”认为该域名估计不久将会被FBI查封。 Scattered Lapsus$ Hunters称将推出公开勒索即服务项目 Scattered Lapsus$ Hunters团伙称，在下周一或下周某个时间，该团伙将推出首款专属的公开勒索即服务（EaaS）项目。运作模式类似勒索软件即服务（RaaS），但不包含锁定/加密功能。他们将为此设立专属门户，并提供参与该服务的操作指南。 该团伙表示，危机管理风险公司/顾问机构，或受害者聘请的谈判专家，通常希望确认对话对象身份，以此通过行为主体的过往记录建立信任与信誉。该计划的核心优势在于：黑客可借用该团伙的名义实施勒索，相较于匿名操作或使用毫无信誉/声誉/信任/历史背景的虚假身份，成功率将显著提升。 该团伙透露，EaaS项目的更多细节将很快公布。 Scattered Lapsus$ Hunters为其勒索攻击做总结并宣称将重点针对五个国家 Scattered Lapsus$ Hunters团伙在Telegram为持续一年的行动进行了小结。其表示，这应成为全球所有政府的警示——一旦遭遇数据泄露，赎金索求便会接踵而至。而最明智的选择是“服从我们，与我们协商解决方案”。 该团伙表示，他们不想再听什么“我们不与[恐怖分子]谈判”的废话。他们不是恐怖分子，只是在维护市场稳定——这是特朗普总统与狗狗币领袖马斯克赋予他们的使命。 该团伙特别警告澳大利亚称真心希望澳洲这次能吸取教训，称几年前其和Shanty摧毁Optus时，就给过澳大利亚多次配合的机会。该团伙要求澳大利亚政府请废除或彻底改革澳大利亚联邦警察局，称澳大利亚警方充斥着傲慢与自负，澳大利亚政府本身亦是如此，要求他们修改法律，调整政策，做出改变。 该团伙威胁称，他们将持续攻击澳大利亚直至澳大利亚重写规则，改变政府之前的决定，放下傲慢自负，未来配合谈判，与其合作。 该团伙针对全球其他政府称：“你们绝不可能阻止我们”，并表示的重点目标始终不变，那就是美国、英国、加拿大、澳大利亚、法国。该团伙警告加拿大说，你们这次没被列入打击目标，真是走运，下次就轮到你们了。 该团伙挑衅联邦调查局称FBI平庸至极，且在做无用功： 请停止浪费资源和资金去查封毫无价值的明网网站breachforums.hn，你们查封它得到了什么？说真的？一无所获。你们只是想吓跑我们吗？显然没成功。你们政府已经停摆，你们却忙着在网上追捕APT青少年。回家吧，辞职吧，退休吧，做点正事。ShinyHunters的名言：“FBI平庸至极”。没错，你们就是这般水平。 该团伙嘲笑Mandiant/GTIG技术拉跨，且一直被打脸： 你们在识别我们UNC6040行动时表现得最烂——拖了近一年才发现，那时所有数据早已泄露。对我们UNC6395行动的追踪勉强及格，但终究平庸至极，毫无价值。奥斯汀·拉森（Austin Larsen），你这个LGBTQ垃圾，滚蛋去当个同性恋吧，蠢货。最后警告Mandiant：别再主动找我们打脸了，因为当我们狠狠扇你耳光时，那滋味他妈的痛彻心扉。相信我，你绝对不想尝到那种滋味。我们能像搞垮捷豹路虎那样锁死整个谷歌云，让你们六七周进不来。别惹我们，去调查中国或Cl0p（又名Sl0p SaaR）吧。 该团伙称，那些配合他们的企业心知肚明，他们做出了正确抉择，在此致谢；至于其他那些公然决定不配合他们、拒绝保护客户权益的公司，只要他们存在，他们面临的威胁非但不会减轻，只会与日俱增。该团伙恐吓道，这次不付钱也行，但当他们卷土重来，像对待捷豹路虎那样停摆这些公司的生产线时，这些公司就只能听天由命了。 该团伙忠告Salesforce总部称： 请放下你们的傲慢与自负，我们将发起更具破坏性的行动，届时希望你们能改变主意。无论耗时多久，我们拥有无限的资金、资源、人力支持和后盾，足以永无止境地开展此类行动。 我们本可采取更恶劣手段，但选择保持简单直接。 该团伙“强烈建议并全力鼓励所有人持续攻击那些拒绝向网络攻击者支付赎金的国家（如澳大利亚），因为这种行为只会助长恶性循环”。该团伙表示，像他们这样经年累月建立信誉的团队不会这么做，他们既非网络攻击者亦非“恐怖分子”，而只是商人，做完生意便转身离去。 最后，该团伙表示，此刻起，全球所有企业都应默认将其视为真实威胁——对你个人、对你的公司、对关键基础设施、对国际安全构成威胁，因为他们永不停歇：“2026年再会”。 澳洲航空旅客信息及餐食选择等570万条记录遭泄露 澳洲航空表示，由于云软件公司Salesforce拒绝向Scattered Lapsus$ Hunters支付赎金，其570万条客户记录在暗网上泄露。 Salesforce排除了向Scattered Lapsus$ Hunters支付赎金或进行谈判的可能性，而澳洲航空周日证实，570万客户的数据已被泄露。 澳航表示，大多数客户记录仅限于姓名、电子邮件地址和飞行常客详细信息。一小部分信息还包括公司或家庭住址、出生日期、电话号码、性别和膳食偏好。 Scattered Lapsus$ Hunters继续威胁澳大利亚与挑衅美国FBI Scattered Lapsus$ Hunters勒索软件团伙口嗨的能力很强，一直在其Telegram频道大放厥词，该团伙发布消息威胁澳大利亚称： 我定要将你们国家炸得稀巴烂。澳大利亚向来以无能和无关紧要著称。 你们所谓的“追捕”、“搜寻”和“消灭”我们，根本是痴人说梦。清醒点吧，你们政府顶多能跑去向头号盟友美国哭诉，请求协助处理那些远远超出澳大利亚政府能力范围的事务。 去你妈的！ 该团伙发布消息挑衅FBI称： 鉴于联邦调查局企图抹杀我们历史遗产的特殊情况，我们特此决定暂时放弃沉寂，即刻予以反击。此刻我们将再度消散于虚空。晚安。 Scattered Lapsus$ Hunters团伙能做出什么惊天举动与反击，“暗网下/AWX”将继续拭目以待。

勒索软件团伙Scattered LAPSUS$ Hunters在发布其暗网泄密网站后，“暗网下/AWX”看到，在其Telegram频道中异常嚣张，除了日常发出包括Dell、Telstra等新的受害者外，新的消息显示其在不断威胁恐吓Salesforce及其客户，挑衅FBI，并贬低cl0p等其他勒索软件团伙。 Scattered LAPSUS$ Hunters继续恐吓Salesforce及受害客户 路透社已经报道：”LAPSUS$黑客组织成员周五在暗网发布泄露网站，列出了据称已入侵的约40家企业。目前尚不明确这些公司是否为Salesforce客户。黑客与Salesforce均拒绝透露是否正在进行赎金谈判。” 该团伙表示，上周路透社询问Salesforce是否会与其接触/谈判时，Salesforce公司最初称“拒绝置评”。对于所有询问“你们向Salesforce索要多少赎金”的媒体，该团伙表示同样不予置评。该团伙不断提醒，勒索的截止日期将于纽约时间2025年10月10日晚上11点59分结束。 Scattered LAPSUS$ Hunters团伙威胁称，请有人告知Salesforce公司：若他们立即支付针对我们DLS系统中列出的39起数据泄露事件的赎金，我们将不会继续披露Salesloft（UNC6395行动）的数据泄露事件。另外，该团伙直接发布针对Salesforce公司的消息： 别成为下一个头条新闻。贵公司SalesForce客户的完整数据库已遭泄露，避免数据公开泄露引发巨大法律、财务及声誉损失的唯一途径，是立即通过电子邮件[email protected]联系SLSH。SLSH将协调安全通信渠道，立即配合可有效限制数据暴露范围、保障数据完整性，并为我们在敏感客户记录出现在公共论坛、全国新闻及DLS系统前控制事件提供最佳机会。拒绝或拖延只会让最终的头条新闻更加不堪。请做出正确抉择。 该团伙继续表示，Salesforce公司与其私下协商最符合贵方利益，只有这样才能彻底解决此事，让生活回归正轨——这场闹剧已经持续太久。该团伙明确强调：自己拥有充足资金、资源、支持和资金保障，足以让攻击持续不断。 该团伙继续称，或许你们以为曼迪安特（Mandiant）或联邦调查局（FBI）会终结此事，但必须再次明确：这种可能性微乎其微。该团伙同时威胁受害公司： 针对Salesforce平台上39家企业客户，我们强烈建议您立即与我们接洽——距离最后期限仅剩不到3天。显然，您的SaaS服务商无意拯救您。切勿成为下一个牺牲品。 对此，Salesforce再次明确告知客户不会向黑客支付勒索费用。 Scattered LAPSUS$ Hunters嘲笑cl0p勒索软件团伙技术差劲 该团伙称cl0p勒索软件团伙的技术太差，并指出了6点： 当你不得不对企业喊“喂！是我啊！去谷歌搜搜我啊！！”时，你就该明白自己在网络安全圈外根本是个无人问津的无名小卒。 你们知道Oracle EBS是什么吗？里面存的那些数据，根本没有哪家公司会为之支付赎金。要是真有公司付钱，那我倒要惊叹自己判断失误——不过那公司绝对是蠢到家了 他们真敢勒索Oracle EBS的数据？？ 这帮人显然不懂如何通过t3://协议跳板，更别说利用WebLogic管理服务器渗透到IDM/SSO这类关键网络了，笑死 估计cl0p这些年损失了不少人手，缺乏执行大规模黑客攻击所需的能力、资源、人员和技术，所以他们大概是这么想的： “直接从Oracle EBS抓取能拿到的数据就行，懒得进一步跳转了——毕竟我们实在搞不定老旧的RHEL 2.x-3.x内核（Oracle常挂原版RHEL），搞不好直接让服务器变砖😂” 你们太差劲了，拜拜 该团伙继续嘲笑，别提cl0p的勒索软件了，简直烂透了。那不过是个基于标准C++的文件加密器，混用RSA和Salsa20算法，唯一创新就是加了个killmsexchange开关防止数据库损坏。代码写得一塌糊涂，到处留下取证痕迹，全球所有杀毒厂商都已经破解分析过了哈哈哈。 该团伙称cl0p维护的不过是个基础Windows加密器，难怪这么无足轻重。当公司不付钱时，就知道用破烂的蹩脚英语邮件轰炸对方。并继续谩骂cl0p道： 你们就是勒索软件界的电话推销员。永远达不到我们的高度，永远无关紧要。你们简直就是勒索软件界的印度骚扰电话推销员。 cl0p，你们的“Oracle EBS”根本不算黑客攻击，纯粹是配置失误——你们只是滥用默认密码重置机制，祈祷企业懒得处理。自2020年以来你的整个操作模式如出一辙：找个文件传输方案（Accellion、MOVEit、Cleo等），利用0day漏洞，像乞讨的吉普赛人一样给公司发邮件勒索赎金，然后在谷歌上搜索你们团伙——创新何在？转型何在？你还在维护那个基础的C++加密器，所有杀毒厂商早就破解了。你们自制的破工具就暴露了粗鄙本性：引以为傲的LEMURLOOT网页shell竟用硬编码密码认证，笑死；你们的勒索软件在每个文件里留下Clop^_-标记，活像智障黑鬼在涂鸦上签名。你们害怕俄罗斯人，所以代码里直接写了不执行俄语系统包的逻辑。你们根本不是什么不可触碰的黑客艺术家，不过是明目张胆的经济犯罪分子，所有人都看穿了（所以才让你们这种无名小卒来冒用我们的泄密成果）。继续你们的垃圾邮件轰炸吧，我们会在网络里干正事——我们一个人的价值抵得上你们所有人。祝你们愉快啊，废物！ Scattered LAPSUS$ Hunters宣称将会制造恐怖的2026年 该团伙表示，其不再运营明网域名，所有服务将迁移至洋葱网络。 该团伙嘲讽联邦调查局因政府停摆而消极怠工，称“本案的主办警官们八成正溜到哪儿鬼混去了”。此外其还散步威胁言论： 2026年将是可怕的一年。最可怕的一年。我们最擅长制造可怕的年份。真的，最擅长。没人能像我们这样把年份搞得如此可怕。千真万确。千真万确。人们都这么说：你们制造的年份太可怕了！而我们确实如此！没错。你们会亲眼见证。我们将让它变得无人能及的可怕。 接着该团伙在频道中呼吁大家卖空SALESFORCE股票，并计划在纽约时间10日晚上11点59分整，开始泄露未付款的公司的数据。目前看，无论Salesforce公司还是受害企业均不会支付赎金，该团伙是否会如期泄露全部数据，让我们拭目以待。 FBI将如何打击这个勒索软件团伙，“暗网下/AWX”将继续关注。

“Scattered LAPSUS$ Hunters”是一个新的暗网勒索软件团伙，由三大勒索软件团伙Scattered Spider、Lapsus$和ShinyHunters合并而成，近期，该团伙推出了基于Tor的暗网数据泄露网站，其中包含42家受害公司。推出该暗网网站目的是迫使受害者向其付费，以避免被盗数据被公开发布。 该勒索软件团伙宣称已攻破Salesforce系统，通过针对Salesforce的供应链攻击窃取了其客户的约10亿条记录。该团伙指控Salesforce缺乏双重认证及OAuth防护机制，称逾百个实例遭入侵，并威胁将实施数据泄露、提起诉讼及披露技术细节。 目前其暗网泄密网站（http://shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid[.]onion）发布了42家公司，包括保险巨头安联人寿、墨西哥航空、开云集团、法国航空、谷歌、思科、Stellantis、澳洲航空、汽车巨头Stellantis、信用机构TransUnion以及员工管理平台Workday等，这些公司均因受到针对存在漏洞的Salesforce实例的攻击而被影响。 FedEx – 1.1TB Aeroméxico – 172.95GB Qantas Airways – 153GB UPS – 91.34GB HMH – 88GB Vietnam Airlines – 63.62GB Toyota Motor Corporation – 64GB Stellantis – 59GB Air France & KLM – 51GB Republic Services – 42GB Adidas – 37GB Disney/Hulu – 36GB Canvas by Instructure – 35GB Instacart – 32GB McDonald’s – 28GB TripleA – 23GB TransUnion – 22GB Home Depot – 19.