Con un'inaspettata dichiarazione pubblica, i membri di Scattered Spider, Lapsus$, ShinyHunters e altri che operano nell'ambito del più ampio ecosistema Com hanno dichiarato che "si stanno oscurando".Il loro comunicato finale sottolinea che i loro obiettivi sono stati raggiunti e che alcuni membri svaniranno nell'anonimato, mentre altri "continueranno a studiare e migliorare i sistemi che utilizzate nella vostra vita quotidiana. In silenzio".
Sebbene l'annuncio abbia tutte le caratteristiche di un'uscita di scena, i difensori non devono sentirsi sollevati. È più probabile che si tratti di un punto di svolta che di una conclusione. La capacità del gruppo di armare l'identità, sfruttare le piattaforme SaaS ed estorcere denaro attraverso lo spettacolo pubblico ha rimodellato in modo fondamentale il crimine informatico.
Per i team SOC, questa non è la fine della storia, ma un promemoria per rimanere concentrati sul rilevamento di sottili segnali di compromissione prima che il furto di dati diventi una leva.

Inside The Com: un ecosistema di equipaggi
Per comprendere Scattered Lapsus$ Hunters, è necessario comprendere The Com. Abbreviazione di The Community, non si tratta di un singolo gruppo di hacker, ma di un ecosistema di criminali informatici con migliaia di membri in tutto il mondo. Le fazioni emergono, si fondono e si ribattezzano continuamente. Scattered Spider, Lapsus$ e ShinyHunters sono solo i nomi più visibili, e molti altri rimangono sconosciuti.
Origini ed evoluzione
Le radici della Com risalgono alla fine degli anni 2010, quando gli adolescenti dirottavano gli account Instagram per vendere preziosi short handle. Questo fenomeno si è rapidamente evoluto nello scambio di SIM, in cui i dipendenti delle telecomunicazioni venivano corrotti o ingannati per reindirizzare i numeri di telefono. Questo ha dato agli aggressori il controllo dell'autenticazione a più fattori basata su SMS, aprendo la porta a e-mail, servizi cloud e portafogli di criptovalute. Una vittima ha perso più di 20 milioni di dollari in criptovalute a causa di attori legati a Com.
Le forze dell'ordine hanno effettuato i primi arresti nel 2018 e nel 2019 diversi membri sono stati condannati per aver rubato milioni. Tuttavia, la rete si è dimostrata resistente. I sottogruppi si sono divisi e adattati, passando dallo scambio di SIM al phishing via SMS, allo sfruttamento di SaaS, all'estorsione e persino agli swatting.
A rendere pericolosa la Com sono le sue dimensioni, la sua adattabilità e la sua giovinezza. L'adesione è fluida, le tattiche variano da molestie grossolane a intrusioni sofisticate e molti membri sono nativi digitali che considerano la violazione delle reti come un'attività online qualsiasi. Si tratta di un ecosistema vivente che si rigenera costantemente, assicurando che anche quando una banda cade, altre si sollevino rapidamente.
Fazioni principali
Sebbene la Com sia estesa e decentralizzata, tre fazioni si sono elevate al di sopra del rumore e hanno dato forma al libro di gioco che i difensori ora riconoscono:
- Scattered Spider si è concentrato sull'ingegneria sociale su scala. Padroneggiavano le chiamate di vishing, l'impersonificazione dell'helpdesk IT e lo scambio di SIM per dirottare le credenziali. I loro obiettivi erano i fornitori di single sign-on, i vettori di telecomunicazioni e le grandi imprese, dove un'identità compromessa poteva sbloccare un intero ambiente.
- ShinyHunters si sono specializzati nel furto e nella monetizzazione di dati in massa. Si sono introdotti in piattaforme SaaS e ambienti di sviluppo, hanno rubato database e li hanno incanalati attraverso forum come RaidForums e BreachForums. La loro reputazione di venditori affidabili di accessi e dati li ha resi centrali nell'economia sommersa.
- LAPSUS$ si sono basati sulla spettacolarizzazione. Invece della crittografia ransomware, si sono affidati al reclutamento di insider, al furto di accessi e alle fughe di notizie pubbliche per massimizzare la pressione. Hanno trattato l'estorsione come un teatro, trasformando i canali Telegram in trasmissioni in diretta delle loro violazioni.
Insieme, queste fazioni hanno costruito un modello complementare. Scattered Spider ha aperto la porta attraverso l'ingegneria sociale, ShinyHunters ha trasformato l'accesso in profitto e LAPSUS$ ha usato le armi della pubblicità per imporre il pagamento.
Il messaggio di commiato ha confermato che queste crew non sono marchi separati in competizione per l'attenzione, ma pezzi interdipendenti dello stesso ecosistema.
Chi altro è stato nominato nel commiato?
"Noi LAPSUS$, Trihash, Yurosh, yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari e molti altri, abbiamo deciso di oscurare".
Il messaggio di addio non si limitava ad annunciare il ritiro. Elencava una serie di maniglie che, se esaminate insieme, rivelano l'ampiezza della Com.
- Prosox e Kurosh (noti anche come Kuroi'SH o Kuroi-SH) hanno raggiunto la notorietà mondiale nell'aprile 2018 per l'hacking di Vevo su YouTube. Hanno violato gli account di Vevo e deturpato diversi video musicali, cancellando notoriamente Despacito (all'epoca il video più visto su YouTube) e pubblicando messaggi "Free Palestine". Due diciottenni, ritenuti Prosox e Kuroi'SH, sono stati successivamente arrestati a Parigi. Prosox ha descritto l'hacking come "solo per divertimento", un primo esempio dell'audacia e della ricerca di clout che avrebbero in seguito definito LAPSUS$.
- Pertinax è emerso nella stessa scena di defacement francese. Nel 2018, un hacker che si faceva chiamare "Galack" ha deturpato un sito e ha lasciato un elenco di citazioni che includeva Prosox, Neimad, Head, Pertinax e altri. Questo graffito ha confermato il posto di Pertinax in quella comunità, che in seguito è confluita nel più ampio ecosistema Com.
- IntelBroker è stato spesso ritratto come una figura centrale di questa rete, che collega ShinyHunters alla malavita di BreachForums. Le forze dell'ordine lo hanno identificato come Kai Logan West, un hacker britannico di 23 anni, e lo hanno collegato alla vendita di dati aziendali e governativi rubati. Tuttavia, gli amministratori di BreachForums hanno in seguito negato che IntelBroker sia mai stato l'effettivo proprietario o abbia avuto privilegi di amministrazione. Secondo la loro dichiarazione del 2025, il titolo di "proprietario" gli è stato intenzionalmente assegnato come tattica di diversione, mentre l'infrastruttura e la leadership del forum sono rimaste altrove.
- Yukari si è guadagnato la fama su BreachForums come venditore prolifico di database rubati, spesso legati ad aziende tecnologiche e a volte a violazioni di giochi o anime. La loro importanza è stata sottolineata nell'agosto 2023, quando gli stessi ShinyHunters hanno pubblicato una taglia senza precedenti di 500.000 dollari in Monero per informazioni che portassero all'identificazione di Yukari. La taglia, accompagnata da un canale Telegram dedicato alla raccolta di indizi, ha evidenziato quanto Yukari fosse diventata influente anche all'interno dei circoli criminali.
- Yurosh è stato direttamente responsabile della violazione di Free Mobile dell'ottobre 2024 in Francia. Insieme a un collaboratore, ha avuto accesso a 19,2 milioni di dati di clienti, compresi i dati bancari. I dati sono stati brevemente messi all'asta su BreachForums ma, secondo Yurosh, non sono mai stati venduti. Al contrario, Yurosh ha incorniciato la violazione come una protesta contro la scarsa sicurezza e la sorveglianza governativa, condividendo persino i dati personali del CEO di Free con un giornalista come prova.
- WyTroZz si è guadagnato la notorietà per gli attacchi SQL injection. Nell'aprile 2018 ha scaricato le credenziali di circa 1.700 utenti Skype, comprese le password in chiaro, pubblicando i dati su Ghostbin e Pastebin. Questa prima attività ha dimostrato la sua abilità nello sfruttare le app web e nel rubare dati sensibili.
- TOXIQUEROOT (o TOXIQUERoot) è attivo almeno dal 2018, quando un hacker rivale noto come Cerberus ha pubblicato un dox che affermava di aver rivelato la sua identità e le sue attività. La fuga di notizie includeva schermate di account compromessi di importanti aziende francesi, dimostrando che aveva già acquisito notorietà negli ambienti locali. Al di là delle chiacchiere sui forum, TOXIQUEROOT ha anche effettuato defacement nello stesso stile di Prosox e Kurosh, compresa l'acquisizione di un canale YouTube dove la sua voce può essere ascoltata nel video pubblicato. Anche se meno pubblicizzato dell'hacking di Vevo, questo dimostra che faceva parte della stessa scena francese che trattava il defacement sia come protesta che come performance.
La Com non è una banda, ma una catena di fornitura in cui l'accesso, i dati e la pubblicità sono divisi tra i vari ruoli.
I detrattori della vecchia scuola compaiono accanto agli operatori più giovani, ognuno dei quali svolge un ruolo. Pubblicando un lungo elenco di nomi, il gruppo non si limita ad annunciare un addio, ma confonde le attribuzioni.
Proprio come IntelBroker è stato ritratto come una figura di riferimento per attirare l'attenzione delle forze dell'ordine, questo roster potrebbe servire come un altro diversivo, spargendo l'attenzione su più maniglie mentre la macchina centrale continua.
Ciò che dimostra realmente è che The Com prospera sulla divisione del lavoro piuttosto che su un'unica bandiera, e che la sua innovazione distintiva rimane l'estorsione senza ransomware, dove l'accesso, i dati e la percezione sono le armi.
Oltre il ransomware: L'estorsione come nuovo modello
Creazioni di ransomware come LockBit e Global operano ora come piattaforme RaaS, generando payload personalizzati su richiesta. Il loro modello si basa ancora su crittografia, distribuzione di malware e tempo di permanenza prolungato, tutti elementi che creano rumore che i difensori possono talvolta rilevare.
Per gli Scattered Lapsus$ Hunters e altre fazioni Com, l'approccio è diverso. Si concentrano su accesso, furto ed esposizione. Le schermate dei sistemi di Jaguar Land Rover o i dati dei fornitori di Salesforce esfiltrati attraverso i token OAuth non sono precursori della crittografia, sono la leva stessa.
L'estorsione non consiste più nel ripristinare l'accesso, ma nel massimizzare la pressione attraverso la minaccia di umiliazione pubblica, il contraccolpo dei clienti e il controllo normativo.
Questo modello prospera in ambienti in cui le identità e le piattaforme SaaS sono affidabili per impostazione predefinita. Gli aggressori si mescolano al traffico normale, abusano delle integrazioni legittime e impersonano il personale IT in tempo reale. Alcuni utilizzano domini phishing che imitano in modo convincente Okta o altri provider SSO, riuscendo persino a catturare i codici MFA su pagine "factor" contraffatte. Altri chiamano direttamente i dipendenti, convincendoli a consegnare i token di sessione. Quando l'intrusione diventa visibile, spesso si tratta di una fuga di notizie su Telegram piuttosto che di un allarme interno.
Il violazione OAuth di Salesloft Drift ha dimostrato quanto possano essere silenziose queste compromissioni. Gli aggressori hanno sottratto i dati di Salesforce, comprese le credenziali e le chiavi API, senza attivare le difese malware . I dati stessi erano la merce di scambio. Segnali sottili come un uso insolito dell'identità, integrazioni SaaS inaspettate o richieste MFA irregolari sono ora i veri indicatori di compromissione.
Il gap di sicurezza nell'era del SaaS e dell'AI
La Com mette in luce una lacuna critica nella sicurezza. Gli strumenti tradizionali sono stati costruiti per catturare il malware e la crittografia ransomware, ma i gruppi di estorsori operano in modi che queste difese raramente vedono. Sfruttano le identità e le piattaforme SaaS di cui le aziende si fidano intrinsecamente, trasformando i punti ciechi in punti di ingresso.
Questo divario è visibile in diversi modi:
- Le difeseMalware non riescono a individuare l'abuso di OAuth. Quando gli aggressori trafugano i dati di Salesforce o Google Workspace utilizzando token rubati, non viene mai eseguito alcun malware . La sicurezzaEndpoint non ha nulla da rilevare.
- Il monitoraggio della rete non tiene conto del traffico SaaS. I dati si muovono tra le applicazioni cloud su canali criptati che gli strumenti perimetrali non sono in grado di analizzare, lasciando che l'esfiltrazione si nasconda nei flussi legittimi.
- I log dell'MFA da soli non sono in grado di individuare l'ingegneria sociale. Quando i dipendenti vengono convinti in una chiamata dal vivo a condividere un token di sessione, gli strumenti di autenticazione mostrano solo un "login valido", non una compromissione.
L'era del ransomware è stata definita dalla crittografia e dalle operazioni rumorose.
L'era dell'estorsione si basa su furtività, abuso di identità e sfruttamento del SaaS.
Per colmare questo divario richiede visibilità sui comportamenti, non solo sulle firme. La Vectra AI Platform offre questa visibilità rilevando i segnali di abuso nei sistemi cloud, SaaS, di rete e di identità, dando al vostro team la possibilità di fermare l'estorsione prima che i dati rubati diventino una risorsa.
Scoprite come funziona nella pratica esplorando la nostra demo autoguidata.