KrebsOnSecurity dévoile l’identité de « Rey », administrateur de Scattered LAPSUS$ Hunters, en retraçant ses erreurs d’OPSEC et en détaillant les campagnes de vishing Salesforce, le RaaS ShinySp1d3r et le recrutement d’initiés.

Selon KrebsOnSecurity, un article d’enquête met au jour l’identité de « Rey », administrateur et visage public de Scattered LAPSUS$ Hunters (SLSH), un collectif mêlant Scattered Spider, LAPSUS$ et ShinyHunters, actif dans l’extorsion et la revente de données.

En mai 2025, des membres de SLSH ont mené une campagne d’ingénierie sociale/vishing pour inciter des cibles à connecter une application malveillante à leur portail Salesforce, puis ont lancé un site d’extorsion menaçant de publier les données internes d’une trentaine d’entreprises (dont Toyota, FedEx, Disney/Hulu, UPS). Le groupe a intensifié le recrutement d’« insiders » contre part de rançon au moment où l’on apprenait qu’un employé de CrowdStrike avait été licencié pour avoir partagé des captures internes avec SLSH (CrowdStrike affirme que ses systèmes n’ont pas été compromis et a saisi les autorités).

Historiquement, SLSH a utilisé des chiffreurs d’autres rançongiciels (ALPHV/BlackCat, Qilin, RansomHub, DragonForce), avant d’annoncer son propre ransomware-as-a-service baptisé ShinySp1d3r. « Rey » est présenté comme le responsable de ce lancement et figure parmi les trois administrateurs du canal Telegram SLSH. Il a aussi été administrateur du site de fuites d’Hellcat (impliqué fin 2024 contre Schneider Electric, Telefonica, Orange Romania) et du forum BreachForums (saisi plusieurs fois par le FBI, dont le 5 octobre 2025).

L’enquête retrace une série d’erreurs d’OPSEC de « Rey » : liaisons entre les alias Hikki-Chan, @wristmug et o5tdev, un mot de passe exposé retrouvé via Spycloud, et des logs d’infostealer contenant l’email cybero5tdev@proton.me. Des archives de défacements associent « o5tdev » à des messages pro-palestiniens et au groupe Cyb3r Drag0nz Team. Des données Telegram et d’autres métadonnées (via Flashpoint/Intel 471) évoquent un environnement familial à Amman (Jordanie), un père pilote (accès fréquent aux sites internes de Royal Jordanian Airlines) et le patronyme Khader, menant à l’identification de Saif Al-Din Khader.

Contacté après que KrebsOnSecurity a joint son père, Saif (qui dit avoir bientôt 16 ans) affirme coopérer avec les forces de l’ordre (Europol/Operation Endgame), vouloir se retirer, et soutient que ShinySp1d3r est une révision d’Hellcat « modifiée avec des outils d’IA » dont il dit avoir partagé le code source. Il affirme n’avoir plus mené d’extorsion depuis septembre, tout en craignant que la publication de l’article ne complique sa coopération. KrebsOnSecurity indique ne pas avoir pu vérifier ces affirmations. Il s’agit d’un article de presse spécialisé et d’investigation visant à documenter les activités de SLSH et à dévoiler l’identité de son opérateur médiatique.

IOCs observés (extraits) 🧩

  • Aliases/identifiants : Rey, Hikki-Chan, o5tdev
  • Telegram : @wristmug, @05tdev, ID 7047194296 (compte attribué à « Rey »)
  • Email : cybero5tdev@proton.me
  • RaaS/outils cités : ShinySp1d3r, Hellcat, chiffreurs ALPHV/BlackCat, Qilin, RansomHub, DragonForce
  • Infrastructures/espaces : Scattered LAPSUS$ Hunters (Telegram), BreachForums (saisies FBI), groupes Telegram « Pantifan », « Ghost of Palestine »

TTPs clés 🔍

  • Vishing pour pousser à connecter une appli malveillante au portail Salesforce (abus d’intégration/OAuth)
  • Vol de données suivi d’extorsion via portails de fuites
  • Recrutement d’initiés pour accès initial/latéral
  • Affiliation à des programmes ransomware et lancement d’un RaaS propriétaire
  • Coordination sur Telegram/Discord

🔗 Source originale : https://krebsonsecurity.com/2025/11/meet-rey-the-admin-of-scattered-lapsus-hunters/