Một “liên minh” mới của giới tội phạm mạng đang khiến các chuyên gia bảo mật lo ngại. Ba nhóm hacker khét tiếng: Scattered Spider, LAPSUS$ và ShinyHunters đều là những cái tên đã từng gây chấn động thế giới mạng khi đứng riêng lẻ, nay đã liên kết thành một thực thể thống nhất mang tên Scattered LAPSUS$ Hunters (SLH).
Sự xuất hiện của liên minh này không chỉ làm gia tăng các vụ tấn công tống tiền và đánh cắp dữ liệu, mà còn cho thấy xu hướng “liên minh hóa” trong giới tội phạm mạng, tương tự như các cartel trong thế giới ngầm.
Theo báo cáo từ Trustwave SpiderLabs, SLH được phát hiện vào tháng 8/2025, khi nhóm này bắt đầu triển khai các chiến dịch tống tiền dữ liệu (data extortion) nhắm vào nhiều tổ chức, trong đó có các công ty sử dụng nền tảng Salesforce.
Kể từ khi xuất hiện, nhóm đã lập đi lập lại ít nhất 16 kênh Telegram, sau mỗi lần bị xóa, để duy trì sự hiện diện công khai của mình. Việc liên tục “tái sinh” này thể hiện nỗ lực bền bỉ của các thành viên trong việc duy trì thương hiệu và thu hút cộng đồng ngầm, tương tự cách các nhóm hacktivist (tin tặc hoạt động mang yếu tố chính trị – xã hội) duy trì tiếng vang của mình.
Liên minh Scattered LAPSUS$ Hunters là sự kết hợp của ba nhóm vốn đã rất “khét tiếng”:
Trustwave nhận định đây là một hình thức “cartel hóa” của giới hacker, nơi danh tiếng và uy tín được dùng để tạo sức ép lên nạn nhân và thu hút các đối tác tội phạm khác. Khác với các tổ chức ngầm thường ẩn mình trên Dark Web, SLH lại chọn Telegram làm trung tâm điều hành và quảng bá. Các kênh của nhóm vừa được dùng để điều phối tấn công, vừa là nơi tung tin, khoe chiến tích và thậm chí “kêu gọi” người tham gia. Một số bài đăng còn khuyến khích người theo dõi gửi email quấy rối lãnh đạo doanh nghiệp, với phần thưởng 100 USD cho mỗi mục tiêu xác thực.
Nhóm này thậm chí còn tự xưng là “SLH Operations Centre” – cách gọi mang tính tổ chức hành chính, nhằm tạo cảm giác “chính quy”, “chuyên nghiệp” cho một tổ chức vốn thực chất là mạng lưới tội phạm phi tập trung.
Theo phân tích kỹ thuật, SLH gồm nhiều nhóm nhỏ và cá nhân đóng vai trò khác nhau, bao gồm:
Nếu điều này thành sự thật, SLH có thể trở thành một trong những liên minh ransomware nguy hiểm nhất hiện nay, với mạng lưới kỹ thuật, thương hiệu và hạ tầng đã có sẵn.
Bên cạnh SLH, sự trỗi dậy của DragonForce (một nhóm ransomware đang liên kết với các băng nhóm khác như Qilin và LockBit để chia sẻ hạ tầng, mã độc, kỹ thuật xâm nhập và tài nguyên) cũng khiến giới an ninh mạng toàn cầu lo ngại. DragonForce được cho là đã phát triển biến thể mã độc mới sử dụng trình điều khiển dễ bị tấn công (BYOVD attack) như "truesight.sys" hay "rentdrv2.sys" để vô hiệu hóa phần mềm bảo mật.
Đáng chú ý, còn có nguồn tin cho rằng Scattered Spider đang cộng tác với DragonForce trong việc xâm nhập hệ thống thông qua kỹ thuật vishing, phishing và điều khiển từ xa bằng AnyDesk, TeamViewer, Splashtop…
Theo giới chuyên gia, mối đe dọa lớn nhất từ các nhóm như SLH nằm ở việc chúng:
Điều này khiến các doanh nghiệp, tổ chức tài chính và cơ quan nhà nước đều có thể trở thành mục tiêu tiềm năng, đặc biệt nếu họ có hệ thống quản lý truy cập lỏng lẻo hoặc nhân viên chưa được huấn luyện về an ninh mạng.
Để giảm thiểu rủi ro từ những chiến dịch liên minh kiểu SLH, các tổ chức cần chú trọng:
Sự xuất hiện của liên minh này không chỉ làm gia tăng các vụ tấn công tống tiền và đánh cắp dữ liệu, mà còn cho thấy xu hướng “liên minh hóa” trong giới tội phạm mạng, tương tự như các cartel trong thế giới ngầm.
Theo báo cáo từ Trustwave SpiderLabs, SLH được phát hiện vào tháng 8/2025, khi nhóm này bắt đầu triển khai các chiến dịch tống tiền dữ liệu (data extortion) nhắm vào nhiều tổ chức, trong đó có các công ty sử dụng nền tảng Salesforce.
Kể từ khi xuất hiện, nhóm đã lập đi lập lại ít nhất 16 kênh Telegram, sau mỗi lần bị xóa, để duy trì sự hiện diện công khai của mình. Việc liên tục “tái sinh” này thể hiện nỗ lực bền bỉ của các thành viên trong việc duy trì thương hiệu và thu hút cộng đồng ngầm, tương tự cách các nhóm hacktivist (tin tặc hoạt động mang yếu tố chính trị – xã hội) duy trì tiếng vang của mình.
Liên minh Scattered LAPSUS$ Hunters là sự kết hợp của ba nhóm vốn đã rất “khét tiếng”:
- Scattered Spider: Chuyên về social engineering, giả mạo nhân viên IT để chiếm quyền truy cập nội bộ doanh nghiệp.
- LAPSUS$: Từng nổi tiếng với các vụ tấn công Microsoft, NVIDIA, Samsung, Okta… bằng chiêu lừa đảo và mua chuộc nhân viên.
- ShinyHunters: Nhóm chuyên đánh cắp và rao bán dữ liệu người dùng trên các chợ đen.
Trustwave nhận định đây là một hình thức “cartel hóa” của giới hacker, nơi danh tiếng và uy tín được dùng để tạo sức ép lên nạn nhân và thu hút các đối tác tội phạm khác. Khác với các tổ chức ngầm thường ẩn mình trên Dark Web, SLH lại chọn Telegram làm trung tâm điều hành và quảng bá. Các kênh của nhóm vừa được dùng để điều phối tấn công, vừa là nơi tung tin, khoe chiến tích và thậm chí “kêu gọi” người tham gia. Một số bài đăng còn khuyến khích người theo dõi gửi email quấy rối lãnh đạo doanh nghiệp, với phần thưởng 100 USD cho mỗi mục tiêu xác thực.
Nhóm này thậm chí còn tự xưng là “SLH Operations Centre” – cách gọi mang tính tổ chức hành chính, nhằm tạo cảm giác “chính quy”, “chuyên nghiệp” cho một tổ chức vốn thực chất là mạng lưới tội phạm phi tập trung.
Theo phân tích kỹ thuật, SLH gồm nhiều nhóm nhỏ và cá nhân đóng vai trò khác nhau, bao gồm:
- Shinycorp (sp1d3rhunters): Điều phối truyền thông và hình ảnh thương hiệu.
- UNC5537: Nhóm từng liên quan đến chiến dịch tống tiền dữ liệu Snowflake.
- UNC3944: Nhóm gắn liền với Scattered Spider.
- UNC6040: Nhóm đứng sau các vụ tấn công giả mạo nhân viên Salesforce (vishing).
Nếu điều này thành sự thật, SLH có thể trở thành một trong những liên minh ransomware nguy hiểm nhất hiện nay, với mạng lưới kỹ thuật, thương hiệu và hạ tầng đã có sẵn.
Bên cạnh SLH, sự trỗi dậy của DragonForce (một nhóm ransomware đang liên kết với các băng nhóm khác như Qilin và LockBit để chia sẻ hạ tầng, mã độc, kỹ thuật xâm nhập và tài nguyên) cũng khiến giới an ninh mạng toàn cầu lo ngại. DragonForce được cho là đã phát triển biến thể mã độc mới sử dụng trình điều khiển dễ bị tấn công (BYOVD attack) như "truesight.sys" hay "rentdrv2.sys" để vô hiệu hóa phần mềm bảo mật.
Đáng chú ý, còn có nguồn tin cho rằng Scattered Spider đang cộng tác với DragonForce trong việc xâm nhập hệ thống thông qua kỹ thuật vishing, phishing và điều khiển từ xa bằng AnyDesk, TeamViewer, Splashtop…
Theo giới chuyên gia, mối đe dọa lớn nhất từ các nhóm như SLH nằm ở việc chúng:
- Kết hợp kỹ thuật xã hội tinh vi (giả mạo nhân viên, lừa đăng nhập, tấn công vishing).
- Khai thác các lỗ hổng bảo mật chưa được vá.
- Vô hiệu hóa phần mềm bảo vệ doanh nghiệp.
- Mở rộng liên minh xuyên quốc gia, chia sẻ công cụ và thương hiệu để tăng sức mạnh.
Điều này khiến các doanh nghiệp, tổ chức tài chính và cơ quan nhà nước đều có thể trở thành mục tiêu tiềm năng, đặc biệt nếu họ có hệ thống quản lý truy cập lỏng lẻo hoặc nhân viên chưa được huấn luyện về an ninh mạng.
Để giảm thiểu rủi ro từ những chiến dịch liên minh kiểu SLH, các tổ chức cần chú trọng:
- Huấn luyện nhân viên nhận diện kỹ thuật lừa đảo, vishing, phishing.
- Giám sát hoạt động truy cập từ xa và vô hiệu hóa các công cụ điều khiển không cần thiết như TeamViewer, AnyDesk nếu không dùng.
- Triển khai xác thực đa yếu tố (MFA) và theo dõi nhật ký truy cập thường xuyên.
- Cập nhật bản vá bảo mật kịp thời, đặc biệt cho các dịch vụ SaaS như Salesforce, Microsoft 365 hoặc nền tảng lưu trữ dữ liệu.
- Tăng cường hệ thống giám sát phát hiện tấn công (EDR, XDR) để phát hiện sớm hành vi đáng ngờ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
