「Scattered LAPSUS$ Hunters」を名乗る活動的なサイバー犯罪グループは、今年、数十社に及ぶ大企業から定期的にデータを盗み出し、公開の場で大規模な恐喝を行うことで見出しを独占してきた。しかし、このハッカー集団の技術担当オペレーターであり公の顔でもある人物が選んだ呼び名「Rey」については、状況がいくらか逆転したようだ。今週初め、KrebsOnSecurityが彼を突き止めて父親に連絡を取った後、Reyは現実世界での身元を確認し、インタビューに応じることに同意した。
Scattered LAPSUS$ Hunters(SLSH)は、3つのハッキンググループ――Scattered Spider、LAPSUS$、そしてShinyHunters――の混成体だと考えられている。これらのギャングのメンバーは、主に英語圏のサイバー犯罪コミュニティであるCom上の同じようなチャットチャンネルの出身者が多い。Comは、無数のTelegramおよびDiscordサーバーにまたがって運営されている。
2025年5月、SLSHのメンバーはソーシャルエンジニアリング・キャンペーンを開始し、音声フィッシングを用いて標的をだまし、悪意あるアプリを組織のSalesforceポータルに接続させた。その後、同グループはデータ漏えいポータルを立ち上げ、Salesforceのデータが盗まれたとされる3ダースの企業の内部データを公開すると脅迫した。そこにはToyota、 FedEx、 Disney/Hulu、そして UPSが含まれていた。
ShinyHuntersに関連する新たな恐喝サイト。Salesforceまたは個々の被害企業が身代金の支払いに同意しない限り、盗まれたデータを公開すると脅している。
先週、SLSHのTelegramチャンネルには「内部者(insiders)」を募集し報酬を与えるという提案が掲載された。大企業の従業員が、勤務先ネットワークへの内部アクセスを提供することに同意すれば、最終的に被害企業が支払う身代金の一部を受け取れるというものだ。
SLSHは以前から内部アクセスを募ってきたが、今回の不満を抱える従業員に向けた最新の呼びかけがソーシャルメディアで拡散し始めたのは、サイバーセキュリティ企業Crowdstrikeが、ハッカー集団に対して内部システムのスクリーンショットを共有した疑いで従業員を解雇したというニュースが出たのと同じ時期だった(Crowdstrikeは、自社システムは侵害されておらず、この件は法執行機関に引き渡したと述べている)。
Scattered LAPSUS$ HuntersのTelegramサーバーは、大企業の内部者の勧誘を試みている。
SLSHのメンバーは伝統的に、他のランサムウェアギャングの暗号化ツールを攻撃に使用してきた。ALPHV/BlackCat、Qilin、RansomHub、DragonForceといったランサムウェア・アフィリエイト・プログラムのマルウェアも含まれる。しかし先週、SLSHはTelegramチャンネルで、ShinySp1d3rと呼ばれる独自のRaaS(Ransomware-as-a-Service)運用の開始を発表した。
ShinySp1d3rのランサムウェア提供を公開した人物は、「Rey」というハンドルネームを名乗るSLSHの中核メンバーで、現在SLSHのTelegramチャンネルの管理者はわずか3人だが、そのうちの1人でもある。以前、Reyは、2024年末に出現し、Schneider Electric、Telefonica、Orange Romaniaなどへの攻撃に関与したランサムウェアグループHellcatのデータ漏えいサイトの管理者だった。
Scattered LAPSUS$ HuntersのTelegramチャンネル説明の最近のスクリーンショット(若干の伏せ字あり)。Reyが3人の管理者のうちの1人として表示されている。
また2024年には、ReyはBreachForumsの最新の形態の管理者に就任した。BreachForumsは英語圏のサイバー犯罪フォーラムで、そのドメイン名はFBIおよび/または国際当局によって複数回押収されている。2025年4月、ReyはBreachForumsの別のFBIによる押収についてTwitter/Xに投稿した。
2025年10月5日、FBIは発表し、BreachForumsに関連するドメインを再び押収したと明らかにした。FBIは同フォーラムを、ShinyHuntersなどが盗難データを売買し、恐喝を助長するために利用してきた主要な犯罪マーケットプレイスだと説明した。
「この摘発により、これらの行為者が侵入行為を収益化し、協力者を勧誘し、複数のセクターにわたって被害者を標的にするために使っていた重要な拠点へのアクセスが排除される」とFBIは述べた。
驚くべきことに、Reyは昨年、運用上のセキュリティに関する致命的なミスを連発し、現実世界での身元と所在地を特定・確認するための複数の手掛かりを与えてしまった。Reyにとってそれがどのように崩壊していったのか、続きを読んでほしい。
REYとは誰か?
サイバーインテリジェンス企業Intel 471によれば、Reyは過去2年間にわたり、さまざまなBreachForumsの再興版で活動的なユーザーであり、2024年2月から2025年7月の間に200件以上の投稿を作成している。Intel 471は、Reyが以前BreachForumsで「Hikki-Chan」というハンドルネームを使用しており、最初の投稿では米国疾病予防管理センター(CDC)から盗まれたとされるデータを共有していたとしている。
CDCに関するその2024年2月の投稿で、Hikki-ChanはTelegramのユーザー名@wristmugで連絡が取れると述べている。2024年5月、@wristmugは「Pantifan」というTelegramのグループチャットに、自分が受け取ったという恐喝メールのコピーを投稿した。そのメールには、彼らのメールアドレスとパスワードが含まれていたという。
@wristmugが切り貼りして投稿したメッセージは、あなたのコンピュータを侵害し、ウェブカメラであなたがポルノを見ているところを録画したと主張するハッカーから送られたという自動化されたメール詐欺の一部だったようだ。これらの文面は、ビットコインで身代金を支払わない限り、その動画を連絡先全員に公開すると脅し、通常、受信者が過去に使用した実在のパスワードを参照する。
「いやああああ」と、@wristmugアカウントは詐欺メッセージのスクリーンショットを投稿した後、恐怖を装って書いた。「もう終わりだ、みんな。」
Rey/@wristmugがTelegramに投稿したメッセージ。
スクリーンショットを投稿する際、@wristmugは詐欺メッセージ本文に記載されていたメールアドレスのユーザー名部分を伏せ字にした。しかし、以前使用していたパスワードは伏せず、メールアドレスのドメイン部分(@proton.me)もスクリーンショット上で見えるままにしていた。
O5TDEV
@wristmugのかなり特徴的な15文字のパスワードを、侵害追跡サービスSpycloudで検索すると、それが使用されていたことが確認できるメールアドレスは1つだけだった:[email protected]。Spycloudによれば、これらの認証情報は、2024年初頭に少なくとも2回、当該ユーザーのデバイスがインフォスティーラー型トロイの木馬に感染し、保存されていたユーザー名、パスワード、認証クッキーをすべて吸い上げられた際に流出した(この事実は、サイバーインテリジェンス企業KELAが2025年3月に最初に明らかにした)。
Intel 471によると、メールアドレス[email protected]は、ユーザー名o5tdevを名乗るBreachForumsメンバーのものだった。このニックネームをGoogleで検索すると、o5tdevというユーザーが以前、親パレスチナのメッセージでサイトを改ざんしていたことを示す、少なくとも2つのウェブサイト改ざんアーカイブが見つかる。たとえば下のスクリーンショットは、05tdevがCyb3r Drag0nz Teamというグループの一員だったことを示している。
Rey/o5tdevの改ざんページ。画像:archive.org。
2023年のSentinelOneの報告書は、Cyb3r Drag0nz Teamを、DDoS攻撃やサイバー改ざんを行ってきた履歴があり、データ漏えい活動にも関与してきたハクティビスト集団だと説明している。
「Cyb3r Drag0nz Teamは、複数の漏えいにまたがって100万人を超えるイスラエル市民のデータを漏えいさせたと主張している」とSentinelOneは報告した。「現在までに、同グループはイスラエル全土の市民に関する個人情報とされる複数の.RARアーカイブを公開している。」
サイバーインテリジェンス企業Flashpointによれば、Telegramユーザー@05tdevは2023年から2024年初頭にかけて活動しており、「Ghost of Palestine」のような反イスラエル系チャンネルでアラビア語の投稿をしていた[完全開示:Flashpointは現在このブログの広告主である]。
「俺はGINTYだ」
Flashpointによると、ReyのTelegramアカウント(ID7047194296)は、Jacuzziというサイバー犯罪に焦点を当てたチャンネルで特に活発で、このユーザーは父親が航空会社のパイロットであることなど、いくつかの個人的な詳細を共有していた。Reyは2024年時点で15歳で、アイルランドとの家族的つながりがあると主張していた。
具体的には、Reyは複数のTelegramチャットで自分にアイルランド系の血筋があると述べ、姓「Ginty」の分布の多さを示すグラフィックまで投稿していた。
Telegram上で「Ginty」という姓との関係があると主張するRey。画像:Flashpoint。
Spycloudは[email protected]から盗まれた数百件の認証情報をインデックス化しており、それらの詳細は、Reyのコンピュータがヨルダンのアンマンにある共有のMicrosoft Windows端末であることを示している。2024年初頭にReyから盗まれた認証情報データは、感染したPCに複数のユーザーがいることを示しているが、全員がKhaderという同じ姓と、ヨルダン・アンマンの住所を共有していた。
Reyの家族PCから抜き取られた「オートフィル」データには、46歳のZaid Khaderに関する項目があり、母親の旧姓がGintyだと記されている。インフォスティーラーデータはまた、Zaid KhaderがRoyal Jordanian Airlinesの従業員向け内部サイトに頻繁にアクセスしていたことも示している。
SAIFに会う
インフォスティーラーデータは、ReyのフルネームがSaif Al-Din Khaderであることを明確に示している。Saif本人に直接連絡を取れなかったため、KrebsOnSecurityは父親のZaidにメールを送った。そのメッセージでは、息子が深刻なサイバー犯罪の共謀に深く関与しているように見えることを説明し、メール、電話、またはSignalで返信してほしいと招請した。
2時間も経たないうちに、SaifからSignalでメッセージが届いた。父親はそのメールを詐欺だと疑い、彼に転送したのだという。
「あなたのメールを見ました。残念ながら、父はこれを『詐欺メール』だと思っているので、返事はしないと思います」とSaifは言い、来月16歳になると私に伝えた。「だから、直接あなたと話すことにしました。」
Saifは、すでに欧州の法執行当局から連絡を受けており、SLSHから身を引こうとしていたと説明した。それならなぜSLSHの新しいRaaS提供であるShinySp1d3rの公開に関与していたのかと尋ねると、Saifは、突然グループを辞めるわけにはいかなかったと述べた。
「まあ、あんなふうにいきなり抜けるわけにはいかない。自分が関わっているものを全部片付けて、先に進もうとしているんだ」と彼は言った。
旧Hellcatランサムウェアサイト。画像:Kelacyber.com
彼はまた、ShinySp1d3rはHellcatランサムウェアの焼き直しにすぎず、AIツールで改変したものだと共有した。「要するに、Hellcatランサムウェアのソースコードを配ったようなものだ。」
Saifは、最近、自分からOperation EndgameのTelegramアカウントに連絡を取ったと主張している。Operation Endgameは、サイバー犯罪サービス、ベンダー、およびその顧客を標的とする継続中の法執行作戦のコードネームである。
「私はすでに法執行機関に協力している」とSaifは言った。「実際、少なくとも6月から彼らと話している。ほとんどすべてを話した。9月以降、企業への侵入や恐喝に関することは、実際ほとんど何もしていない。」
Saifは、今このタイミングで自分に関する記事が出ると、今後提供できるかもしれない追加の協力が危険にさらされる可能性があると示唆した。また、米国または欧州当局が、ハッキンググループへの関与についてヨルダン政府に連絡を取っているかどうかも分からないと述べた。
「記事になれば、望まない注目が一気に集まってしまい、協力するつもりなら非常に難しくなる」とSaifは言った。「どうなるのか分からない。彼らは私の要請について複数の国と連絡を取っていると言っていたけど、もう丸1週間で、何の更新もない。」
Saifは、先月末にEuropol当局へ連絡したことを示すスクリーンショットを共有した。しかし、彼が言うところの問い合わせに応答している法執行当局者の名前は挙げられず、KrebsOnSecurityは彼の主張を検証できなかった。
「正直どうでもいい。ただ、たとえ刑務所行きになろうが何だろうが、こういうこと全部から先に進みたいだけだ」とSaifは言った。
翻訳元: https://krebsonsecurity.com/2025/11/meet-rey-the-admin-of-scattered-lapsus-hunters/
