Son dönemde ortaya çıkan Scattered LAPSUS$ Hunters (SLH) grubu, siber suç ekosisteminde alışılmışın dışında bir federatif yapı sergiliyor. Ağustos başında faaliyetlerine başlayan bu grup, Salesforce gibi büyük kurumsal hedeflere yönelik veri şantajı saldırılarını yoğunlaştırdı. SLH, şantaj-hizmet modeli (Extortion as a Service – EaaS) ile diğer bağlı kuruluşların da katılımına olanak tanıyarak, konsolide bir marka algısı ve operasyonel güç oluşturuyor.
Telegram: Koordinasyon ve İletişimde Merkezi Rol
Trustwave SpiderLabs raporuna göre, SLH ve ilişkili gruplar Telegram platformunu operasyonlarının merkezi olarak kullanıyor. Telegram kanalları, tehdit aktörlerinin mesajlarını yaymak, hizmetlerini pazarlamak ve operasyonel koordinasyonu sağlamak için megafon işlevi görüyor. Bu kanallarda “SLH/SLSH Operasyon Merkezi” gibi idari imzalar yer alarak, parçalı iletişimlere bürokratik meşruiyet kazandırılıyor. Ayrıca, grup üyeleri Çin devlet destekli aktörleri hedef alan suçlamalar yaparken, ABD ve İngiltere kolluk kuvvetlerine karşı da propaganda yürütüyorlar.
Uyumlu Siber Suç Ağı: The Com ve Diğer Kümeler
SLH, The Com adlı gevşek bağlı federatif bir siber suç örgütü ile bağlantılı. Bu ağ, CryptoChameleon ve Crimson Collective gibi diğer tehdit kümeleriyle de etkileşim içinde. Grup içinde Shinycorp (sp1d3rhunters) marka yönetimini üstlenirken, UNC5537, UNC3944 ve UNC6040 gibi alt kümeler farklı şantaj ve vishing kampanyalarından sorumlu. Teknik olarak, üyeler exploit geliştirme ve ilk erişim aracı (Initial Access Broker – IAB) olarak yuka (Yukari/Cvsp) gibi isimlerle tanınıyor.
Fidye Yazılımı ve Gelişmiş Operasyonlar
SLH’nın ana faaliyetleri veri hırsızlığı ve şantaj olsa da, Sh1nySp1d3r adlı fidye yazılımı ailesi üzerinde çalıştıkları gözlemleniyor. Bu yazılım, LockBit ve DragonForce gibi büyük fidye yazılımı gruplarıyla rekabet edecek kapasitede. Trustwave, grubun finansal motivasyonlu siber suç ile hacktivizm arasında bir yerde konumlandığını, maddi teşviklerle sosyal doğrulamayı birleştirdiğini belirtiyor. Ayrıca, MCP istemcisi benzeri araçlar, Pydantic AI destekli otomasyon ve AsyncRAT benzeri uzak erişim yazılımları kullanılarak operasyonel verimlilik artırılıyor. Konteyner tabanlı altyapılarda rastgele atanmış SSH portları ile gizlilik ve erişim kontrolü sağlanıyor.
DragonForce ve Kartelleşme Modeli
Acronis araştırmacılarının açıklamasına göre, DragonForce grubu truesight.sys ve rentdrv2.sys gibi savunmasız sürücüleri kullanan BadRentdrv2 adlı yeni bir kötü amaçlı yazılım varyantı geliştirdi. Bu varyant BYOVD (Bring Your Own Vulnerable Driver) saldırı tekniğiyle güvenlik yazılımlarını devre dışı bırakıyor ve korunan işlemleri sonlandırıyor. DragonForce, Qilin ve LockBit ile ortaklık kurarak teknik bilgi, kaynak ve altyapı paylaşımını kolaylaştırıyor. Bu sayede bağlı kuruluşlar kendi kötü amaçlı yazılımlarını dağıtırken DragonForce altyapısını kullanabiliyor ve kendi markaları altında faaliyet gösterebiliyor. Scattered Spider ise sosyal mühendislik teknikleriyle (spear-phishing, vishing) hedeflere sızıp ScreenConnect, AnyDesk, TeamViewer ve Splashtop gibi uzak erişim araçlarıyla kapsamlı keşif yaparak DragonForce operasyonlarını destekliyor.
DragonForce, Conti’nin sızdırılmış kaynak kodunu temel alarak kendi şifreli yapılandırmasıyla işlevselliği koruyan bir fidye yazılımı geliştirdi. Bu yapı, komut satırı argümanlarını kaldırarak tespit edilme riskini azaltıyor.