✅ レポートタイトル：脅威グループのプロファイリング：「Scattered Lapsus$ Hunters（SLSH）」

✅ レポートの要約：

- 「Scattered Lapsus$ Hunters（SLSH）」は、2025年8月にTelegram上で活動を開始した金銭目的のサイバー犯罪グループです。

- 同グループはSalesforceに対するソーシャルエンジニアリング攻撃、複数企業からのデータ窃取、「Extortion-as-a-Service（EaaS）」運営、そして「Ransomware-as-a-Service（RaaS）」開発の兆候を示しました。

- SLSHはScattered Spider、Lapsus$、ShinyHuntersによる連合体です。

- SLSHはScattered Spider、Lapsus$、ShinyHuntersの3グループによる連合体で、これらはいずれも米国および英国を拠点とする若年層サイバー犯罪ネットワーク「The Com」と関連していると考えられています。

- 判明しているメンバーにはShiny、sevy、rey、alg0dm、unc3944などが含まれます。

- 一部の詐欺師が「SLSH」の名義を悪用しましたが、Telegram上の活動およびBitcoinアドレスの分析により、偽SLSHチャンネルと運営者（@shinyspiders）が特定されました。

- 同グループは明確な金銭目的で活動し、業種・国籍を問わず企業を標的としました。

- SLSHは構成グループが以前用いてきた手法を統合し、連合体としてより高度で脅威性の高いオペレーションへと進化しました。

- 同グループはVishingキャンペーンを実施し、盗取したSalesloft Drift OAuthトークンを用いてGoogle Salesforce環境にアクセスし、複数企業から大規模データを窃取しました。

- SLSHはWemade、HMM、SKTelecomなど韓国企業、および海外の主要企業に対する攻撃を主張しました。

- SLSHグループは、BreachForumsブランドの関連フォーラムであるbreachforums[.]hnを通じて、初の公式Telegramチャンネルを宣伝しました。

- また、Telegram、専用「Data Leak Site（DLS）」、Breachstarsなどのハッキングフォーラムで窃取データを公開し、ディープウェブ／ダークウェブ環境に精通していることが確認されました。

- SLSHはTelegramを主要な広報基盤として使用し、継続的に窃取データを公開し、被害企業へ交渉を促す圧力メッセージを投稿しました。

- 威圧的または嘲笑的な内容の投稿を繰り返し、交渉拒否時にはデータ公開または売却を示唆しました。

- Telegramチャンネルは度々閉鎖され、その都度新規チャンネルが作成されました。また、関連チャンネルとのクロスポストにより影響力拡大を図りました。

- SLSHは自身のブランドを活用し、恐喝を中心としたサービスモデルを展開しました。

- 同グループは「Extortion-as-a-Service（EaaS）」を運用し、データ漏洩、威圧行為、交渉支援などで他のサイバー犯罪グループと連携しました。

- 「ShinySp1der」と呼ばれるランサムウェアの開発が確認され、「Ransomware-as-a-Service（RaaS）」構築の試みが示されました。

- SLSHに関する詳細情報については、S2W脅威インテリジェンスセンター「TALON」までお問い合わせください。

- 同グループは2025年10月20日に主要メンバーの逮捕を理由に活動停止を宣言しましたが、2025年11月21日に新たなTelegramチャンネルを開設し、活動継続を表明しました。

- 関連インフラおよびアクター活動を継続的に監視し、再活動の兆候を早期に察知するとともに、脅威インテリジェンス分析および対応能力を強化することが重要です。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。