Scattered Lapsus$ Hunters (hay đôi khi viết tắt là SLSH hoặc dùng biệt hiệu liên quan như “SP1D3R Hunters”) là một “liên minh tội phạm mạng” tương đối mới. Chúng là liên minh từ ba nhóm hacker nổi tiếng: Scattered Spider, LAPSUS và ShinyHunters.
Trước khi “hợp nhất”, mỗi nhóm kể trên đã từng hoạt động riêng biệt với các chiến dịch đánh cắp dữ liệu hoặc tống tiền.
Khoảng giữa 2025, các sự kiện trên Telegram cho thấy nhóm Scattered Lapsus$ Hunters được công bố như một liên minh công khai, các kênh Telegram mang thương hiệu kết hợp, các thông điệp tống tiền hoặc tiết lộ dữ liệu được đăng dưới tên chung.
Sau đó, chúng có thể tạo tài khoản mới, workflow tùy chỉnh và tiếp tục di chuyển ngang giữa các tổ chức mà không cần truy cập gốc vào nền tảng chính của Salesforce.
Nhóm sau đó đưa dữ liệu vào trang “leak site” (trang công bố thông tin bị rò rỉ) trên TOR, kèm lời đe dọa sẽ công khai trừ khi được trả tiền chuộc.
Liên minh “Scattered Lapsus$ Hunters” được công bố công khai vào khoảng giữa 2025. Sau đó, ngày 03/10/2025, nhóm này đã ra mắt “data leak site” chuyên cho chiến dịch Salesforce. Trước đó, đã có nhiều hoạt động phối hợp hoặc trùng lặp tactics giữa các nhóm (ShinyHunters & Scattered Spider) trong các vụ xâm nhập dữ liệu doanh nghiệp lớn.
Trước khi “hợp nhất”, mỗi nhóm kể trên đã từng hoạt động riêng biệt với các chiến dịch đánh cắp dữ liệu hoặc tống tiền.
- Scattered Spider: Nổi lên khoảng năm 2022 với cách tấn công chủ yếu bằng social engineering (như giả danh nhân viên IT, SIM swap, “mệt mỏi MFA”)
- LAPSUS$: Vốn đã nổi tiếng với các vụ đánh cắp mã nguồn, rò rỉ source code, bình luận nội dung nhạy cảm, và tấn công trực tiếp vào các công ty lớn.
- ShinyHunters: Là nhóm chuyên theo đuổi rò rỉ dữ liệu/ bán dữ liệu, thực hiện nhiều vụ tấn công vào các hệ thống doanh nghiệp, đặc biệt là dữ liệu người dùng, SaaS và nền tảng đám mây.
Khoảng giữa 2025, các sự kiện trên Telegram cho thấy nhóm Scattered Lapsus$ Hunters được công bố như một liên minh công khai, các kênh Telegram mang thương hiệu kết hợp, các thông điệp tống tiền hoặc tiết lộ dữ liệu được đăng dưới tên chung.
Hoạt động & phương thức tấn công
Để hiểu mức độ nguy hiểm, cần xem cách nhóm này thực hiện các chiến dịch:1. Khởi đầu bằng social engineering
Nhóm không “bẻ khóa” Salesforce hay hệ thống đám mây theo cách kỹ thuật cao, họ bắt đầu bằng cách lừa nhân viên thông qua vishing (gọi điện giả danh IT), SIM swap hoặc ép buộc người dùng cài ứng dụng độc hại, chấp nhận quyền API.2. Chiếm quyền thông qua OAuth/ tích hợp bên thứ ba
Một vụ điển hình là nhóm này đã tấn công vào Salesloft’s GitHub repository, lấy các token OAuth đã được ủy quyền để kết nối với Salesforce của khách hàng. Nhờ token này, hacker duy trì truy cập hợp pháp “như người dùng tích hợp” mà không phát hiện dễ dàng.Sau đó, chúng có thể tạo tài khoản mới, workflow tùy chỉnh và tiếp tục di chuyển ngang giữa các tổ chức mà không cần truy cập gốc vào nền tảng chính của Salesforce.
3. Tiếp quản & thu thập dữ liệu
Sau khi đã có quyền truy cập qua OAuth hoặc API, chúng tiếp tục thu thập dữ liệu người dùng, giao dịch, hợp đồng, thông tin nhạy cảm từ Salesforce và các hệ thống bên liên quan.Nhóm sau đó đưa dữ liệu vào trang “leak site” (trang công bố thông tin bị rò rỉ) trên TOR, kèm lời đe dọa sẽ công khai trừ khi được trả tiền chuộc.
4. Tống tiền theo mô hình dữ liệu làm đòn bẩy (Data extortion/ EaaS)
Khác với mã hóa toàn bộ hệ thống (ransomware truyền thống), chiến thuật của nhóm là đánh cắp dữ liệu rồi dùng nó để tống tiền. Trong lúc tống tiền, chúng còn công bố giới hạn thời hạn (deadline) để ép nạn nhân quyết định nhanh. Và nếu doanh nghiệp không trả tiền, dữ liệu sẽ bị tung công khai.5. Khả năng tái xuất & thay đổi hình thức
Từng có dấu hiệu nhóm tuyên bố nghỉ hoạt động (go dark), nhưng các chuyên gia hoài nghi đây chỉ là chiêu giữ kín, tái cấu trúc để tiếp tục hoạt động.Liên minh “Scattered Lapsus$ Hunters” được công bố công khai vào khoảng giữa 2025. Sau đó, ngày 03/10/2025, nhóm này đã ra mắt “data leak site” chuyên cho chiến dịch Salesforce. Trước đó, đã có nhiều hoạt động phối hợp hoặc trùng lặp tactics giữa các nhóm (ShinyHunters & Scattered Spider) trong các vụ xâm nhập dữ liệu doanh nghiệp lớn.
Mức độ nguy hiểm & mối đe dọa tiềm ẩn
Scattered Lapsus$ Hunters không phải là nhóm hacker bình thường, đây là liên minh có khả năng:- Ẩn mình dưới vỏ bọc hợp lệ: Vì sử dụng OAuth token chính thức, nhiều truy cập của họ không bị cảnh báo là bất thường.
- Lan truyền qua chuỗi cung ứng & tích hợp: Chỉ cần một dịch vụ bên thứ ba bị xâm nhập (như Salesloft) để từ đó tấn công nhiều khách hàng cùng lúc.
- Tấn công dữ liệu nhạy cảm quy mô lớn: Các tổ chức lớn trong lĩnh vực thời trang cao cấp, hàng xa xỉ, hàng không, ngân hàng, công nghệ đều bị nhắm.
- Ép buộc doanh nghiệp chịu áp lực trả tiền: Với mối đe dọa công khai dữ liệu, mức độ tín nhiệm của công ty có thể bị phá hủy, khả năng kiện tụng, mất khách hàng…
- Tái xuất dạng mới, khó truy vết: Nếu “go dark” tạm thời, nhóm có thể đổi tên hoặc thành phần mới tiếp tục hoạt động, khó định danh lâu dài.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối: