Resecurityは、同社の脅威インテリジェンスチームのハニーポットに引っかかったとして、サイバー犯罪集団「Scattered Lapsus$ Hunters」に「祝意」を示した。これにより、データ窃盗犯のうち1人に対して召喚状が発付される結果となった。一方で、この悪名高い恐喝犯たちは、その後、セキュリティ企業のシステムに「完全アクセス」を得たという主張を取り下げている。
クリスマスイブのブログ投稿によると、同社のHunterユニットは、かつてShinyHuntersとして知られていたグループが同社の公開サービスやアプリケーションを探っているのを捕捉した後、2025年11月に罠を仕掛けたという。
Resecurityの脅威インテリジェンス部門は12月24日、次のように述べた。「このアクターが偵察を行っていることを理解した上で、当チームはハニートラップ用アカウントを設定しました。これにより、合成データを含むエミュレートされたアプリケーションの1つに、脅威アクターがログインすることに成功しました。」
週末には、同社はソーシャルメディア上で犯罪者たちをからかった。
このハニーポットには偽の従業員アカウントが含まれており、盗難データのスーク(市場)であるRussian Marketplaceに仕込まれた、メールアドレス[email protected]を持つ「Mark Kelly」を名乗るものもあった。また、合成データやメッセージも含まれており、消費者になりすました2万8,000件のレコードや、支払い取引の偽レコード19万件超などがあった。
「私たちのシナリオでは、脅威アクターに活動を行わせ、合成データを与えることで、攻撃経路とインフラを観察することが目標でした」とResecurityチームは記した。
うまくいった。
1月3日、このサイバー犯罪集団はTelegramを通じて、Resecurityのシステムに「完全アクセス」を得て「すべて」を盗んだと主張した。彼らによれば、それには社内チャットやログ、従業員データ、脅威インテリジェンス報告書および管理ファイル、顧客情報が含まれるという。「何カ月にもわたり、REsecurityは私たちや、私たちが知るグループに対してソーシャルエンジニアリングを試みてきた」と投稿は述べていた。
しかし実際には、これはResecurity側によるさらなるソーシャルエンジニアリングだった。セキュリティ調査員によると、偽データの処理はScattered Lapsus$ Huntersによる「いくつかのOPSEC上のミス」につながり、自動化に使用されている正確なサーバーが露呈するなどしたという。セキュリティ企業はまた、攻撃者のIPに関する情報も公開し、エジプトからのものやMullvad VPN経由のものも含まれていた。
「利用可能なネットワークインテリジェンスとタイムスタンプを用いてアクターの所在が特定されると、Resecurityのパートナーである海外の法執行機関が、脅威アクターに関する召喚状の請求を行いました。」
翌日の1月4日、これらの主張はTelegramチャンネルから削除され、ShinyHuntersはThe Registerのコメント要請に応じなかった。
Resecurityチームは、どの海外法執行機関が召喚状を出したのかについては明言を避けたが、容疑者の1人は米国人ではなく、米国および英国に関係者がいる人物だとThe Registerに語った。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/05/resecurity_honeypot_shinyhunters/
