Verbindungen zwischen Hackergruppen LAPSUS$, Scattered Spider und ShinyHunters aufgedeckt

LONDON (IT BOLTWISE) – Die Cybersecurity-Welt steht vor neuen Herausforderungen, da Verbindungen zwischen den berüchtigten Hackergruppen LAPSUS$, Scattered Spider und ShinyHunters aufgedeckt wurden. Diese Gruppen haben seit 2023 signifikante operative Verbindungen und taktische Überschneidungen gezeigt, was zu einer hochgradig anpassungsfähigen Cyberkriminalitätsökosystem führt. Trotz ihrer angeblichen “Ruhestand”-Ankündigung im September 2025 deuten Erkenntnisse darauf hin, dass sie weiterhin diskret operieren.

Die Cybersecurity-Welt sieht sich mit neuen Herausforderungen konfrontiert, da Verbindungen zwischen den berüchtigten Hackergruppen LAPSUS$, Scattered Spider und ShinyHunters aufgedeckt wurden. Diese Gruppen, bekannt für ihre englischsprachigen Mitglieder, haben seit 2023 signifikante operative Verbindungen und taktische Überschneidungen gezeigt. Experten beschreiben dies als ein hochgradig anpassungsfähiges Cyberkriminalitätsökosystem, das eine fortgeschrittene Bedrohung für globale Unternehmen darstellt.

Die jüngsten Entwicklungen zeigen, dass die Grenzen zwischen diesen Gruppen zunehmend verschwimmen. Ihre gemeinsame Vorliebe für Social Engineering, überlappende Mitgliedschaften und koordinierte Angriffe auf hochkarätige Ziele demonstrieren ein Organisationsniveau, das in der Cyberkriminalität bisher kaum gesehen wurde. Die von diesen Gruppen eingesetzten Angriffsvektoren sind technisch nicht besonders komplex, zeigen jedoch eine bemerkenswerte Koordination und Ausnutzung menschlicher Schwächen sowie technologischer Fehlkonfigurationen.

Ihr primärer Zugang zu Zielnetzwerken erfolgt über Social-Engineering-basierte Angriffe, bei denen Akteure sich als Mitarbeiter oder Auftragnehmer ausgeben, um IT-Helpdesks zu täuschen und unbefugten Zugang zu erhalten. Trotz ihrer “Ruhestand”-Ankündigung im September 2025 deuten Erkenntnisse darauf hin, dass diese Gruppen weiterhin diskret operieren. Sie haben sich einen erheblichen Ruf und eine nachgewiesene Erfolgsbilanz bei erfolgreichen Einbrüchen erarbeitet, die es ihnen ermöglichen, ihre Reputation für private Erpressungen zu nutzen, ohne sofortige mediale Aufmerksamkeit zu erregen.

Im August 2025 identifizierten Resecurity-Analysten die konkretesten Beweise für eine Zusammenarbeit, als ein Telegram-Kanal die Marken und offensichtlichen Mitgliedschaften aller drei Gruppen kombinierte. Dieser chaotische Kanal, der schließlich von Telegram gesperrt wurde, wurde genutzt, um Drohungen zu koordinieren, Datenlecks anzukündigen und ein neues Ransomware-as-a-Service-Angebot namens “shinysp1d3r” zu vermarkten.

Die operative Arbeitsteilung wurde deutlich: ShinyHunters bestätigten, dass Scattered Spider den ersten Zugang zu Zielen bereitstellte, während sie die Datenexfiltration und -veröffentlichung übernahmen. Mitglieder von LAPSUS$ waren aktive Teilnehmer an hochkarätigen Kampagnen, darunter die Einbrüche bei Salesforce und Snowflake. Die Verbindung der Gruppen mit dem Kollektiv “The Com” zeigt weiter ihre vernetzte Natur.

Dieses überwiegend englischsprachige Cyberkriminalitätsökosystem operiert als lose organisierte Netzwerk, das eine breite Palette von Akteuren umfasst, hauptsächlich Teenager und Personen in ihren Zwanzigern. Die Verstärkung erfolgreicher Datenlecks durch offizielle Com-Kanäle deutet auf eine gemeinsame Ideologie, Mitgliedschaft, Ressourcen und mögliche operative Koordination hin, was das FBI dazu veranlasste, vor den Risiken zu warnen, die mit dem Beitritt zu solchen Bewegungen verbunden sind.

Die Hackergruppen haben ausgeklügelte Social-Engineering-Methoden verfeinert, die als ihr primärer Angriffsvektor dienen, mit besonderer Expertise im Umgehen moderner Sicherheitskontrollen, die viele Organisationen als robust betrachten. Ihr Ansatz zur Umgehung der Multi-Faktor-Authentifizierung (MFA) zeigt die Evolution des Social Engineering von einfachem Phishing zu komplexen, mehrstufigen psychologischen Manipulationskampagnen.

LAPSUS$ hat die Verwendung von SIM-Swapping in Kombination mit MFA-Bombing-Techniken, auch bekannt als “Push-Fatigue”, eingeführt, bei denen Angreifer Opfer mit Authentifizierungsanfragen überfluten, bis sie aus Frustration oder Verwirrung eine genehmigen. Diese Technik wurde von Scattered Spider weitgehend übernommen und zunehmend von ShinyHunters in ihren Salesforce-fokussierten Kampagnen eingesetzt.

Die Gruppen nutzen ausgeklügelte Vishing-Operationen (Voice Phishing), bei denen Angreifer sich als IT-Mitarbeiter ausgeben, oft bewaffnet mit detailliertem Organisationswissen, das durch Aufklärung oder frühere Einbrüche erlangt wurde. Ihre Helpdesk-Imitationstechniken beinhalten umfangreiche Vorbereitungen, einschließlich des Sammelns von Mitarbeiternamen, Organisationsstrukturen und interner Terminologie durch soziale Medien und Datenbroker-Dienste.

In OAuth-Token-Missbrauchsszenarien, insbesondere in Salesforce-Umgebungen, nutzen die Gruppen das Vertrauensverhältnis zwischen Anwendungen und Cloud-Diensten aus. Die technische Implementierung beinhaltet das Täuschen von Benutzern, um bösartige “Connected Apps” in Salesforce zu autorisieren, die langlebige OAuth-Token generieren, die persistenten Zugriff auf Daten gewähren und MFA sowie andere Sicherheitskontrollen umgehen.

Diese Token ermöglichen es Angreifern, auf CRM-Daten im großen Maßstab zuzugreifen, wie in den Behauptungen von ShinyHunters demonstriert, über 1,5 Milliarden Salesforce-Datensätze von 760 Unternehmen gestohlen zu haben. Der Missbrauch von OAuth-Token, die mit legitimen Integrationen wie Salesloft und Drift verbunden sind, zeigt, wie Angreifer die vernetzte Natur moderner Cloud-Umgebungen ausnutzen, um persistenten Zugriff zu erhalten, während sie als legitimer Anwendungstraffic erscheinen.

Infostealer spielen eine entscheidende Rolle in ihrer Authentifizierungs-Bypass-Strategie, wobei die Gruppen Malware-Familien wie Azorult, Lumma, RedLine, Raccoon und Vidar nutzen, um nicht nur Benutzernamen und Passwörter, sondern auch aktive Sitzungscookies zu ernten. Diese Cookies ermöglichen es Angreifern, authentifizierte Sitzungen zu kapern und sofortigen Zugriff auf Systeme zu erhalten, ohne Login-Warnungen oder MFA-Herausforderungen auszulösen.

Die ausgeklügelte Natur dieser Angriffe zeigt, wie traditionelle Sicherheitsmaßnahmen oft gegen gut orchestrierte Social-Engineering-Kampagnen versagen, die technische Ausbeutung mit psychologischer Manipulation kombinieren, was die Erkennung und Prävention für Organisationen, die sich ausschließlich auf technologische Lösungen verlassen, zunehmend herausfordernd macht.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Vikye KI -Roboter Angetrieben von Deepseek, Smart Talking Desk Companion mit 1,28 "Bildschirm, Sprachsteuerung, WLAN -Wetteruhr und Bluetooth Music Player

30,50 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

ZOOI Geschenke für Männer, Geburtstagsgeschenk für Männer, Gadgets für Männer, Geschenke für Papa Geschenk Männergeschenk Adventskalender Füllung Männer, Bluetooth Lautsprecher mit Handyständer

20,99 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

QCOQ® Air Tags 4er Pack Schwarz, Schlüsselfinder & Air Tracker Tagg Kompatibel mit Apple Wo ist? App (Nur iOS), Smart Key Finder mit Schlüsselband, Koffer-Tracker für Taschen/Keys, Austauschbarer Akku

36,99 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

169,00 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!