Пять арестов и три закрытых форума. Почему ShinyHunters все ещё грабит корпорации
Сила группировки оказалась не в людях, а в имени, которое раз за разом переживает любые удары.
Киберпреступные группы всё чаще атакуют не периметр, а привычные механизмы доверия в корпоративных сервисах, и ShinyHunters наглядно показывает, почему одной многофакторной аутентификации уже недостаточно. По данным Cato CTRL, группа остаётся активной в 2026 году, несмотря на три захвата форумов, пять арестов администраторов в трёх операциях и приговор основателю Себастьену Раулю.
Главное изменение связано не с отдельным вредоносным инструментом, а с тактикой. ShinyHunters всё меньше опирается на грубый фишинг и цепочки уязвимостей, а вместо паролей атакует доверенные механизмы доступа в корпоративных SaaS-сервисах. Под риском оказываются организации, которые используют Salesforce, Salesloft Drift, Gainsight и похожие сторонние интеграции.
Во время кампании UNC6040 злоумышленник звонил в службу поддержки, выдавал себя за сотрудника IT-отдела и убеждал работника пройти якобы проверку связи. В результате работник одобрял вредоносное подключённое приложение Salesforce. После такого одобрения атакующий получал OAuth-токен с правами пользователя. Пароль, вредоносная программа и обход многофакторной аутентификации в привычном смысле для такой схемы не требовались.
Связанный с ShinyHunters кластер UNC6395 пошёл ещё дальше и убрал из схемы социальную инженерию. Вместо обмана сотрудников он использовал украденные OAuth-токены доверенных интеграций, включая Salesloft Drift. Такой доступ не создавал привычных признаков заражения на рабочих устройствах, потому что злоумышленники действовали через сервисы, которым компания уже доверяла.
Устойчивость ShinyHunters связана не только с техникой. Группа получила известность в 2020 году на продаже крупных массивов данных, а затем пережила закрытие RaidForums, два захвата BreachForums и аресты заметных администраторов во Франции в 2025 году.
После ударов по инфраструктуре бренд возвращался за считанные дни или недели, а к 2025 году усилился через объединение в Scattered LAPSUS$ Hunters, где сошлись узнаваемость ShinyHunters, приёмы социальной инженерии Scattered Spider и агрессивные методы LAPSUS$.
Рекомендации для защитников сводятся к пересмотру модели безопасности. Компаниям советуют включать устойчивую к фишингу многофакторную аутентификацию для привилегированных ролей в SaaS, проверять и ограничивать OAuth-приложения в Salesforce, Google Workspace и Microsoft 365, отслеживать новые сторонние разрешения в реальном времени, обучать службы поддержки распознавать голосовой обман, ограничивать доступ к чувствительным API по IP-адресам и следить за массовым экспортом данных.