ヨルダン在住でオンライン上では「Rey」と名乗る15歳の少年が、ハッカー集団Scattered Lapsus$ Hunters(SLH/SLSH)の主要人物として特定されたとされています。この特定と報道への同意は今週初め、Reyが記者に直接連絡を取ったとされる後に起きました。
この主張は、サイバーセキュリティ記者のKrebsOnSecurityがReyの実際の家族情報を突き止め、父親とされるザイド・カーデル氏(ロイヤル・ヨルダニアン航空のパイロットと考えられている)に接触した後に浮上しました。そのメッセージ送信後、来月16歳になるとされるサイフ・アルディン・カーデル(Saif Al‑Din Khader)という少年が連絡を取ってきました。サイフはSLSHのTelegramチャンネルを運営する3人の管理者の1人とされています。
Reyを指し示す手がかり
過去にHikki‑Chanという名前も使っていたこのハッカーは、身元を特定されるいくつかの単純なミスを犯したとされています。彼はBreachForumsという、FBIによって何度も摘発された犯罪マーケットプレイスの管理者でもあったとされています。FBIによる摘発。
Brian Krebsによる報告によると、ReyはTelegram名@wristmugを使用中に自身のパスワードが写ったスクリーンショットを投稿したとされています。また、Jacuzziというサイバー犯罪チャンネルで父親がパイロットであることなど、個人的なヒントも共有していたとされています。
Krebsの調査は、このパスワードがメールアドレス[email protected]と結びついていることを突き止めました。アンマンにある家族共用のパソコンから得られたデータは、カーデルという姓を裏付け、さらに母方の旧姓Gintyを通じて家族のアイルランドとのつながりも示していたとされます。これはReyがチャットで言及していた内容です。
SLSHは、3つの著名なサイバー犯罪グループが混在した集団で、今年も活動しています。Salesforceシステムからデータを盗み、トヨタやFedExなどの企業にリークをちらつかせて脅迫したとされています。また、企業内部者のリクルートも試みており、CrowdStrikeの従業員が内部スクリーンショットをSLSHに送信したとして解雇された例もあります。
グループはALPHV/BlackCatなどの有名なランサムウェアのマルウェアも使用しています。ReyはHellcatランサムウェアグループの管理者だったとされ、最近SLSH独自のランサムウェアサービス「ShinySp1d3r」を発表したと述べています。
SLSHは調査結果を否定
KrebsOnSecurityによると、サイフは「グループを辞めようとしており、2025年6月から法執行機関と協力している」と主張しました。「正直どうでもいい、もうこの件から手を引きたい。たとえ刑務所行きになっても、何を言われても」と少年は語りました。
これに対し、SLSHは報道に対して痛烈な反撃を開始しました。公式Telegramチャンネルで、グループは記者の調査結果を「評判を傷つけるための必死の試み」と一蹴しました。
非常に皮肉な返答で、記者の主張に真っ向から反論し、「全く異なる手法で複数の別名を使い分けていると考えるのは滑稽だ」と述べました。また、記者がサイフの発言を歪曲し、関与を認めたかのように見せかけていると非難し、Krebsが執着していると主張しました。
「この執着がどれほどあなたを苦しめているか、私たちは両方とも知っています :)」
投稿は驚くべき挑戦で締めくくられました。「私の本当の身元を公に明かし、実際の証拠で裏付けられるなら、10BTCを支払う。」
グループの全文反論はこちら:
"私が見る限り、Krebsさん、あなたの「調査」は私の評判を傷つけるための必死の試みであり、あなたが目立つための安っぽい手段に過ぎません。
あなたが今年3月のKELAレポートを使い回し、ログをダウンロードして丸ごと記事にしただけなのは両方とも分かっています。
おめでとう、Krebs!ついにGoogleの使い方を覚えたんですね。1. 問題の人物は確かに間接的に私と関係があります。しかし、その人物が私だと決めつけるのは滑稽です。その人物は「o5tdev」などの別名(全く異なる手法を使用)で、私がReyとして活動を始めた後も長く活動していました。それは論理的に可能ですか?私に多重人格か双極性障害でもあると?あなたの世界ではそうかもしれませんね。
2. 私たちが話した時、あなたは「インタビュー」だと一度も明かさずに質問を連発しました。あなたは私がShinySpiderランサムウェアと関係していると偽って示唆しました。突然「なぜまだSLSHにいるのか?」と聞かれ、「そんなものから簡単に離れるのは難しい」と答えました。あなたはその一文だけを切り取り、私の関与を認めたかのように歪曲しました。
3. あなたはShinySpiderがAI生成かどうかも聞きました。私は「知らない」と答え、私がしたのはHellcatのソースコードをベースとして使えるように共有しただけだと言いました。少し考えればShinySpiderとHellcatは今や全く異なるランサムウェアだと分かるはずです。誰もが、あなたが少し注目を集めるために古いゴミを使い回すだけの人間だと知っています。
4. あなたは「父親」に最初に連絡し、私が突然パニックであなたに連絡したかのように記事を構成しました。実際は、あなたが最初にXで私にメッセージを送り、その後私がSignalで「やあ、サイフだよ!」と連絡したのです。
なぜあなたが私を「暴露」しようとしていると分かったのか気になるでしょう。簡単です。その人物が私でないことを知っているのと同じ方法です。でも心配しないで、Krebs、そのサイフが誰かはちゃんと分かっています。5. あなたは「Sp1d3rHunters」ペルソナを昨年のSnowFlakeキャンペーンで私に押し付けようとしていますが、全てのログがあるはずなのにです。5秒で私でないと確認できたはずです。つまり、あなたは無能で自分の証拠が読めないか、意図的に嘘をついたかです。それこそが投影というものです。
6. あなたは私をSLSHの「中核」として描こうとしましたが、それがナンセンスだと知っているはずです。なぜ他の管理者やメンバーについて書かなかったのですか?手に入れたのがゴミの山だけで、チャンネルでの煽りにまだイラついていたから、それでも記事にして「勝った」ふりをしたかったのでしょう?
7. あなたは私にstealerログ、ソーシャルエンジニアリング、フィッシングなどのTTPを山ほど押し付けました。あなたは「Saif」という人物が「o5tdev」という別名で活動し、WordPressの脆弱性を使ってサイトを改ざんしていたと明言しました。WordPressサイトを改ざんしていた人間が、数か月でJaguar Land Rover(19億ユーロの損失)、Orange、Telefonica、Schneider Electric、Philips、Appleなどをロックダウンできるようになると思いますか?
この執着がどれほどあなたを苦しめているか、私たちは両方とも知っています :)
そろそろ虚偽の告発はやめて、一度くらいまともなジャーナリズムをしてみては?少なくともAllison Nixonを見習ってください。彼女はK1berPhant0mの追跡に成功し(彼は馬鹿ですが)、実際に逮捕に貢献しました。だから、Krebsさん、私からの提案です:
私の本当の身元を公に明かし、実際の証拠で裏付けられるなら10BTC支払います。
あなたの記事が原因で、私があなたの主張した件で地元の法執行機関からノックされることがあれば15BTC支払います。"
インフォスティーラーとの関連
サイバー犯罪インテリジェンス企業Hudson Rockの共同創設者兼CTOであるAlon Gal氏は、KrebsOnSecurityの報道を受けてLinkedInで自身の見解を共有しました。Gal氏によると、「Rey」として知られる人物はHellcatグループやJaguar Land Rover、Schneider Electric、Telefonicaなど複数の大規模侵害に関与し、正式にドックスされたと述べています。
Gal氏は、サイバーセキュリティ企業KELAが2025年3月時点で、ハッキングフォーラムで使用されていた過去の別名を暴露したインフォスティーラー感染データを用いて、Reyの疑わしい身元をすでに特定していたことを指摘しました。
その感染はヨルダン人のサイフ・カーデルという人物に結びついていました。感染したマシンでは、イスラエルのウェブサイトの改ざんや他の未熟な攻撃など、初期のハッキング活動の兆候が見られました。しかし、KELAの公開後も法執行機関による対応はありませんでした。
Gal氏は当時、感染したシステムを自ら調査し、疑念を抱いたと述べています。Reyの既知の行動や文体と感染マシン上で見られたものを比較した結果、Reyが意図的に古いフォーラムの認証情報の痕跡を研究者を欺くために残した可能性があると考えました。閲覧履歴や文体、OPSEC意識は、後にランサムウェアや恐喝活動を行うペルソナとは一致しなかったとし、そのギャップに今も驚いていると述べています。
それでもGal氏は、Krebsの報道によれば、Rey自身が問題のマシンが自分のものであることを認めたと指摘しました。彼の分析では、主に3つのポイントを挙げています:
- Reyは暴露後も公然と活動を続け、KELAの元調査をネット上で嘲笑したが、その後アカウントはBANされた。
- 感染は2024年1月に遡り、法執行機関は数か月間対応する機会があったが、Reyが近年最も活発な脅威アクターの一人であったにもかかわらず、何も行動しなかった。
- 感染したマシンでは、Reyが他で見せる言語スタイルや検索履歴、OPSEC意識と一致しない点が見られた。
この否定にもかかわらず、William Wright氏(Closed Door Security CEO)はHackread.comに見解を寄せ、「これは素晴らしい調査報道だ」と述べました。彼は肯定的に評価しつつも、「15歳の少年が英国の最大手企業にこれほどの被害を与えられることに、一般市民の間で大きな懸念が生じるだろう」と指摘しました。
Wright氏は「現実はそれほど単純ではない」と警告し、「Reyはロシアの脅威アクターと協力し、彼らのインフラを使って高度な攻撃を実行していた」と付け加えました。さらに「Reyは現在、法執行機関と協力していると主張しており、これがScattered Lapsus$ HunterのTelegramチャンネル全体で混乱を引き起こしている。このことがギャングの他のメンバーの特定につながる可能性があるが、Reyが十分に法執行機関に協力すれば軽い処分で済むかもしれない」と締めくくりました。
翻訳元: https://hackread.com/report-names-teen-scattered-lapsus-hunters-group/
