Scattered Lapsus$ Hunters trak sig ikke tilbage alligevel

Eskil Sørensen

10.09.2025 10:14

Crimson Collective slutter sig til alliancen

Nu er der nyt om den notoriske kriminalitetsgruppe Scattered Lapsus$ Hunters, som vi har skrevet om ved flere lejligheder her i efteråret. Den nyligt opståede gruppe Crimson Collective, som står bag kompromitteringen af Red Hat Consultings GitLab-instans, har tilsluttet sig alliancen. Det markerer en ny fase i gruppens udvikling, hvor tidligere uafhængige aktører nu samles under ét navn.

Det skriver Dark Reading, og dermed bliver det slået godt og grundigt fast, at den erklærede tilbagetrækning ikke havde noget med en tilbagetrækning at gøre. Der er snarere tale om en konsolidering, hvor folkene bag Scattered Lapsus$ Hunters har fundet nye samarbejdspartnere.

Crimson Collective hævder at have stjålet kildekode og kundeengagementsrapporter fra 28.000 repositories tilhørende Red Hat Consulting. Disse rapporter indeholder angiveligt infrastrukturoplysninger, som gruppen har brugt til at kompromittere mindst én af Red Hats kunder. Det er dog endnu ikke bekræftet af uafhængige kilder, fremgår det.

Konsolidering af trusselsaktører

Samarbejdet blev offentliggjort via Telegram, hvor Scattered Lapsus$ Hunters samtidig har lanceret et nyt leak-site på Dark Web, fremgår det. Her figurerer Red Hat nu blandt 39 organisationer, der angiveligt har fået kompromitteret deres Salesforce-instans gennem vishing-angreb. For Red Hat er der sat en deadline den 10. oktober for betaling af løsesum, hvorefter data truer med offentliggørelse.

Scattered Lapsus$ Hunters beskriver det stjålne materiale som en “570 GB ticking time bomb of your failures” og hævder, at adgangstokens og andre følsomme oplysninger indgår i lækket.

AWS-mål og teknisk metodik

Ifølge Rapid7 har Crimson Collective også været aktiv i AWS-miljøer, hvor de har udnyttet lækkede adgangsnøgler og svage IAM-konfigurationer til at opnå privilegeret adgang. Gruppen har anvendt værktøjet TruffleHog til at finde credentials og har efterfølgende oprettet nye konti, kortlagt miljøet og eksfiltreret data via API-kald.

Den anvendte GitLab-instans hos Red Hat Consulting var en selvadministreret Community Edition, hvilket rejser spørgsmål om de sikkerhedsforanstaltninger, der har været implementeret.

Fragmentering, konsolidering og stærkere grupper

Scattered Lapsus$ Hunters har tidligere været betragtet som en løs sammenslutning af grupper som Scattered Spider, Lapsus$ og ShinyHunters. Den seneste udvikling tyder på en konsolidering, hvor nye aktører som Crimson Collective integreres i et mere koordineret netværk. Det sker samtidig med, at gruppen som nævnt offentligt har hævdet at ville opløses – en påstand, der altså fremstår som vildledning og som bekræfter formodningen om, at der er svært at stole på udmeldinger om udmeldelser af cyberkriminalitetsverden.

Sagen her minder os om, at trusselsaktører skifter form og struktur hurtigt. Alliancer, taktiske skift og brug af fælles infrastrukturer som leak-sites kommer og går og ændrer trusselsbilledet konstant.

Læs mere

https://www.darkreading.com/threat-intelligence/red-hat-hackers-team-up-scattered-lapsus-hunters

Information