Папин компьютер, спам "18+" и охота спецслужб. Один скриншот разрушил жизнь 15-летнего лидера хакеров

Хакерская группировка Scattered LAPSUS$ Hunters, которая в этом году шантажирует десятки корпораций и продаёт украденные данные, оказалась во многом построена вокруг 15-летнего подростка из Иордании. Под ником Rey он выступал техническим лидером и публичным лицом группы, а теперь, после расследования KrebsOnSecurity и разговора с его отцом, его реальная личность, по всей видимости, установлена — и сам подросток утверждает, что сотрудничает с правоохранительными органами.

Scattered LAPSUS$ Hunters (SLSH) считают объединением сразу трёх известных банд: Scattered Spider, LAPSUS$ и ShinyHunters. Их участники пересекаются в англоязычных киберпреступных чатах в Telegram и Discord. В мае 2025 года SLSH запустили масштабную кампанию социальной инженерии: злоумышленники звонили сотрудникам компаний и убеждали их подключить вредоносное приложение к корпоративному порталу Salesforce. Позже группа открыла собственный портал для слива данных и пригрозила опубликовать внутреннюю информацию примерно трёх десятков компаний, у которых, как утверждается, были украдены данные Salesforce. В числе жертв называли Toyota, FedEx, Disney/Hulu и UPS.

Отдельный вымогательский сайт, связанный с ShinyHunters, теперь угрожает слить похищенные данные, если Salesforce или отдельные пострадавшие компании не заплатят выкуп. На прошлой неделе канал SLSH в Telegram опубликовал новый призыв к «инсайдерам» — сотрудникам крупных компаний, готовым за долю от выкупа предоставить доступ к внутренним системам работодателя. Ранее группа уже пыталась искать информаторов, но в этот раз их объявление разошлось по соцсетям на фоне новости о том, что CrowdStrike уволила сотрудника за «слив» скриншотов внутренних систем хакерам SLSH. В CrowdStrike заявили, что инфраструктура компании не была скомпрометирована и что инцидент передан в правоохранительные органы.

До последнего времени участники SLSH в основном пользовались чужими шифровальщиками — из партнерских программ ALPHV/BlackCat, Qilin, RansomHub, DragonForce и других. Но недавно на своём канале группа объявила о запуске собственной схемы «ransomware-as-a-service» под брендом ShinySp1d3r. Эту платформу представил один из ключевых участников SLSH — администратор Telegram-канала под ником Rey. Раньше он был админом сайта для публикации слитых данных Hellcat — группировки, появившейся в конце 2024 года и связанной с атаками на Schneider Electric, Telefónica и Orange Romania.

В 2024 году Rey также возглавил очередную инкарнацию печально известного форума BreachForums, крупной англоязычной площадки для торговли украденными базами и инструментами для взлома. Этот форум уже несколько раз лишался доменов в результате операций ФБР и международных силовиков. В апреле 2025 года Rey публично писал в соцсетях об очередном изъятии доменов BreachForums. 5 октября 2025 года ФБР вновь объявило о захвате доменов площадки, назвав BreachForums крупным криминальным рынком, которым пользуются ShinyHunters и другие для торговли похищенными данными и вымогательства. По словам ведомства, ликвидация сайта «убирает важный узел», через который преступники монетизировали вторжения, искали сообщников и выбирали жертв в разных отраслях.

Как выяснилось, при всей своей опытности Rey допускал серьёзные ошибки операционной безопасности, которые и позволили аналитикам и журналистам выстроить цепочку до его настоящего имени и адреса. По данным Intel 471, под ником Rey он был активным пользователем разных возрождений BreachForums с февраля 2024 по июль 2025 года и оставил более 200 сообщений. Ранее он выступал там под другим псевдонимом — Hikki-Chan, а его первый пост касался данных, якобы украденных у Центров по контролю и профилактике заболеваний США (CDC).

В том же сообщении за февраль 2024 года Hikki-Chan указал для связи Telegram-аккаунт @wristmug. В мае 2024 года этот аккаунт в Telegram-чате «Pantifan» опубликовал скриншот письма-шантажа, где мошенники утверждали, что взломали его компьютер, записали его через веб-камеру во время просмотра порносайтов и угрожали разослать видео всем контактам, если не будет выплачен выкуп в биткоине. Такие массовые рассылки обычно включают реальный пароль, который жертва действительно использовала ранее. Подросток отреагировал на сообщение шутливым «Noooooo, I must be done guys», но при публикации скриншота закрасил только логин почты, оставив видимыми домен @proton.me и старый пароль.

Уникальный 15-символьный пароль из скриншота, по данным сервиса Spycloud, совпал только с одной учётной записью — адресом cybero5tdev@proton.me. Эти данные были дважды украдены в начале 2024 года после заражения устройства владельца информационным стилером, который выгреб все сохранённые логины, пароли и куки. Intel 471 связывает этот email с пользователем BreachForums под ником o5tdev. Поиск по этому нику в Google показывает архивы дефейсов сайтов, где o5tdev оставлял пропалестинские сообщения от имени команды Cyb3r Drag0nz Team.

Специалисты SentinelOne ранее описывали Cyb3r Drag0nz Team как хактивистскую группу, которая проводит DDoS-атаки, дефейсит сайты и публикует базы персональных данных. По их данным, группа заявляла об «утечке данных более чем миллиона граждан Израиля» и выкладывала многотомные архивы с личной информацией. Аналитики Flashpoint, в свою очередь, находят следы Telegram-аккаунта @05tdev, который в 2023 — начале 2024 года был активен в арабоязычных анти-израильских каналах вроде «Ghost of Palestine».

Flashpoint также указывает, что аккаунт Rey в Telegram (ID7047194296) активно общался в криминально-ориентированном канале «Jacuzzi». Там он делился личными деталями: рассказывал, что его отец — пилот авиакомпании, что ему 15 лет и что у семьи есть ирландские корни. В одном из сообщений он публиковал картинку с распространённостью фамилии Ginty, напрямую связывая себя с этим именем.

Spycloud, проанализировав данные украденных учёток, пришёл к выводу, что компьютер Rey — это общий Windows-ПК семьи в Аммане (Иордания). В слитых логинах фигурирует несколько пользователей с одной и той же фамилией Khader и указанным адресом в Аммане. В «автозаполнении» браузера из этих данных есть анкета 46-летнего Zaid Khader, где в поле девичьей фамилии матери значится Ginty. Те же данные показывают частые посещения внутренних сайтов сотрудников авиакомпании Royal Jordanian Airlines — то есть по профилю Zaid действительно похож на пилота национального перевозчика.

Сопоставив эти фрагменты, исследователи пришли к выводу, что под ником Rey скрывается Саиф Аль-Дин Хадер (Saif Al-Din Khader). Не сумев связаться с ним напрямую, KrebsOnSecurity написали письмо его отцу Зайду, объяснив, что его сын, судя по всему, глубоко вовлечён в серьёзный киберпреступный заговор. Спустя меньше двух часов журналист получил сообщение в Signal от самого Саифа: по его словам, отец посчитал письмо очередным скамом и просто переслал его сыну.

Саиф сообщил, что ему скоро исполнится 16 лет, и что о нём уже знают европейские правоохранительные органы. Он утверждает, что пытается выйти из Scattered LAPSUS$ Hunters, но «просто взять и исчезнуть» не может, поэтому сейчас занят тем, чтобы «зачистить всё, с чем он был связан, и двигаться дальше». На вопрос, почему тогда именно он отвечал за запуск новой вымогательской программы ShinySp1d3r, подросток ответил, что это по сути переработанная версия уже существующего шифровальщика Hellcat, дополненная с помощью инструментов ИИ: «Я по сути раздал исходники Hellcat».

По словам Саифа, в последнее время он сам вышел на контакт с аккаунтом Telegram, связанным с операцией правоохранительных органов Operation Endgame — масштабной кампанией против киберпреступных сервисов и их клиентов. Он настаивает, что уже сотрудничает с силовиками «как минимум с июня», и утверждает, что с сентября больше не участвовал «ни во взломах корпораций, ни в вымогательстве».

Подросток просит пока не публиковать о нём историю, утверждая, что это может сорвать его взаимодействие с правоохранительными органами и привлечь к нему «ненужное внимание», особенно если власти США и Европы ещё не вышли на контакт с правительством Иордании. По его словам, полицейские структуры сообщили, что взаимодействуют с несколькими странами по его запросу, но уже «прошла целая неделя» без каких-либо обновлений. Саиф показал скриншот, который должен подтверждать его обращение в Европол в конце прошлого месяца, однако назвать конкретных офицеров или официально подтвердить свои заявления он не смог, и журналистам не удалось их проверить.

«Мне всё равно, я просто хочу выйти из этого всего, даже если это закончится тюрьмой или чем угодно ещё», — сказал он. Пока неясно, чем закончится история подростка, который успел побывать администратором крупнейших киберпреступных площадок и лицом одной из самых громких вымогательских группировок года, но уже пытается договориться с теми, кто охотится за ним и его бывшими сообщниками.