Scattered Spider grubunun emeklilik iddialarına rağmen faaliyetlerini finans sektörüne kaydırarak sürdürdüğü ortaya çıktı. ReliaQuest tarafından yapılan analizlerde, grubun sosyal mühendislik yoluyla bir yöneticinin Azure Active Directory hesabını ele geçirip, Citrix ve VMware ESXi altyapılarına erişim sağladığı tespit edildi. Bu erişimle hassas BT ve güvenlik belgelerine ulaşan saldırganlar, Veeam servis hesabı şifresini sıfırlayarak yetki yükseltti ve ağda yatay hareketle daha fazla sızıntı gerçekleştirdi.
Stratejik Geri Çekilme ve Yeniden Yapılanma
Trustwave SpiderLabs’tan Karl Sigler, grubun emeklilik açıklamasının gerçek bir dağılma değil, kolluk kuvvetleri baskısından kaçınmak için stratejik bir geri çekilme olduğunu belirtiyor. Bu tür siber suç gruplarının isim değiştirerek veya yeni takma adlarla faaliyetlerine devam etme eğiliminde olduğu vurgulanıyor. Scattered Spider, ShinyHunters ve LAPSUS$ gibi diğer gruplarla bağlantılı olup, “scattered LAPSUS$ hunters” adlı üst bir yapı oluşturuyor.
Yapay Zeka Destekli Sesli Oltalama ve Genişleyen Operasyonlar
EclecticIQ’nin 2025 analizine göre, ShinyHunters üyeleri Bland AI gibi yapay zeka destekli platformlarla ölçekli sesli oltalama saldırıları düzenliyor. Bu saldırılar, dinamik sentetik sesler ve gerçek zamanlı diyalog yönetimi kullanarak hedefleri manipüle ediyor. Elde edilen erişimler Salesforce ve Okta SSO gibi kritik uygulamalardan veri sızdırmak ve şantaj amaçlı kullanmak için değerlendiriliyor. Ayrıca, BrowserStack API anahtarları ve Oracle Access Manager açığı gibi teknikler kullanılarak yüksek değerli sektörlere yönelik saldırılar gerçekleştiriliyor.
Güvenlik araştırmacısı Arda Büyükkaya, ShinyHunters’ın yapay zeka destekli oltalama, tedarik zinciri ihlalleri ve içeriden tehditler gibi yöntemleri birleştirerek operasyonlarını genişlettiğini belirtiyor. Çalınan veri setleri, fidye yazılımı ortakları ve diğer suç aktörlerine yüksek fiyatlarla satılıyor.