ShinyHuntersとして知られるハッキンググループが、Resecurityのインフラに侵入し内部データを持ち出した責任を主張している。しかしResecurityは、攻撃者がアクセスできたのは意図的に構築されたデコイ(おとり)に過ぎず、悪意ある活動を観測・分析するために作られた、捏造情報で満たされた分離システムだけだったとしている。
ShinyHuntersはTelegramにスクリーンショットを公開し、侵入が成功したことを裏付けるものだと主張している。グループによれば、従業員データ、社内コミュニケーション、サイバー脅威レポート、顧客情報を入手したという。証拠とされるものとして、Pastebin上の悪性コンテンツのモデレーションに関する議論を含む社内会話が表示されたMattermostの画面画像を共有した。
同グループは自らを「Scattered Lapsus$ Hunters」と称し、Lapsus$やScattered Spiderといった他の著名な集団とのつながりを示唆している。また、Resecurityがソーシャルエンジニアリングを通じて同グループの構造を調査しようとしたことへの報復として攻撃を実行したと主張している。
Resecurity側の説明は大きく異なる。会社の担当者は、侵害されたシステムは同社の中核インフラとは完全に無関係だったと断言している。12月24日に公開された報告によれば、不審な活動は11月の時点ですでに検知されていた。セキュリティチームは外部ソースに起因する偵察の兆候を特定し、エジプトおよびMullvad VPNサービスに関連するIPアドレスを追跡した。
認識された脅威への対応として、Resecurityは偽データを投入した隔離環境を展開し、監視対象の侵入者にアクセスを与えるアカウントを意図的に埋め込んだ。
この環境には、28,000件を超える架空のユーザープロフィールや、Stripe APIに似せて構造化された190,000件超の取引など、捏造された記録が含まれていた。このハニーポットの目的は、攻撃者の行動、戦術、ツールに関するインテリジェンスを収集することだった。
12月、Resecurityは大規模な自動データ持ち出し(エクスフィルトレーション)の試みを観測した。攻撃者はプロキシネットワークを介して動作し、約190,000件のリクエストを開始したという。作戦中、断続的な接続障害により一部の実IPアドレスが一時的に露出し、それらはその後、法執行当局と共有された。
攻撃者の行動観測を長引かせるため、追加の偽データが後にデコイ環境へ投入された。これにより敵対者側でさらなる運用上のミスが生じ、調査担当者は関連インフラを絞り込み、攻撃の自動化に使用されたサーバーを特定できたという。同社によれば、収集した証拠に基づき、国際的な法執行機関のパートナーの一つがすでに身柄引き渡し(引き渡し)要請を開始したともしている。
公開時点で、ShinyHuntersは主張を裏付ける追加の証拠を提示していないが、近い将来さらなる情報を公開すると約束している。
