Três gangues adolescentes de crimes cibernéticos, antes enfraquecidas por prisões, voltaram à cena com força ao se unirem em uma coalizão chamada SLH (ShinyHunters, LAPSUS$ e Scattered Spider). O grupo assumiu a responsabilidade por violações em instâncias do Salesforce e agora ameaça gigantes como Google, além de desafiar o FBI.
Segundo o portal CyberNews, os hackers afirmam que podem expor as identidades de agentes federais envolvidos nas investigações. Eles já divulgaram os nomes de 14 funcionários e exigiram que o diretor do FBI, Kash Patel, demitisse os investigadores.
No mesmo tom, o grupo enviou um ultimato ao CEO do Google, Sundar Pichai, exigindo a demissão de dois colaboradores do setor de inteligência de ameaças da empresa. Caso contrário, alegam que irão vazar bases de dados roubadas.
Ameaças públicas e novos alvos
O novo canal no Telegram do grupo, criado em 28 de agosto e que já soma mais de 52 mil inscritos, tem sido usado para ataques verbais contra executivos, como George Kurtz, CEO da CrowdStrike, e até contra o presidente dos Estados Unidos, Donald Trump.
Os hackers afirmam que já invadiram repetidas vezes o Google e continuam com acesso às suas redes. Para reforçar suas alegações, publicaram um banco de dados chamado Gemini.com em um mercado clandestino — embora a autenticidade não tenha sido confirmada.
Tokens e credenciais à venda
O grupo também reivindicou um ataque à plataforma Salesloft Drift, usada para marketing com inteligência artificial. De lá, teriam roubado tokens de autenticação que possibilitaram comprometer instâncias do Salesforce em empresas como Google, Victoria’s Secret e Zscaler.
Entre os dados à venda estariam credenciais da AWS, Snowflake e até chaves de contas de serviço do Google Cloud Platform. O Google confirmou que tokens usados em integrações específicas podem ter sido comprometidos, mas reforçou que o Workspace e o Gmail não foram afetados.
Histórico de ataques e prisões
O SLH reivindica violações contra grandes organizações, incluindo Allianz Life, TransUnion, Farmers Insurance, Air France e KLM. Apenas na TransUnion, cerca de 4,4 milhões de clientes foram notificados sobre possível vazamento de dados.
Apesar da postura desafiadora, os grupos que formam o SLH já foram severamente atingidos por autoridades. O LAPSUS$ foi desmantelado em 2022, membros do Scattered Spider foram presos, e líderes dos ShinyHunters foram detidos em operações contra o BreachForums.
Ainda assim, o coletivo mostra que continua ativo, ousado e capaz de explorar vulnerabilidades críticas em empresas globais.
