Shinyhunters

Toen het datalek bij Odido bekend werd, viel mij op dat een discussie ontstond die ik vaker zie bij grote cyberincidenten. In dit geval sprak media over een grote datahack, op sociale media werd gezocht naar de schuldige en binnen IT kringen ging het gesprek over technische maatregelen/ controls die dit incident hadden kunnen voorkomen. Een vraag werd opvallend vaak gesteld: waarom betaalt Odido niet gewoon?

Dit zijn allemaal legitieme vragen, maar een belangrijk punt ontbreekt in de meeste discussies. Namelijk de context over de aanvaller zelf. De naam ShinyHunters werd genoemd alsof iedereen wist wie deze actor is. Ik ga ervan uit dat buiten de CTI kringen weinig mensen weten wat die naam werkelijk vertegenwoordigt. Sterker nog, binnen de CTI kringen weten we dat ook niet precies. Wat ik wel weet is dat het incident niet op zichzelf staande gebeurtenis is; in werkelijkheid is dit een ontwikkeling die CTI analisten internationaal al jaren zien.

Deze blog is daarom geen incidentanalyse, maar een reactie op het publieke gesprek. Zolang we ShinyHunters zien als “een hackersgroep”, missen we het belangrijkste punt: de aanval begint niet bij Odido, maar bij een cybercrime-ecosysteem dat al jaren bestaat.

De trend

Voor veel mensen voelt een groot datalek als een plotselinge ramp. Het incident bij Odido is allesbehalve plotseling of uniek. De afgelopen twee jaar zijn meerdere internationale organisaties getroffen door vrijwel identieke campagnes. Slachtoffers die ShinyHunters heeft gemaakt zijn: telecombedrijven, luchtvaartmaatschappijen, luxe merken en cloudomgevingen. Slachtoffers werden werden niet via complexe exploits gecompromitteerd, maar via identiteit. De aanvalsvector was steeds hetzelfde: social engineering gecombineerd met cloudplatformmisbruik, gevolgd door data-extortion in plaats van klassieke ransomware. Odido past exact in dat patroon.

Om te begrijpen waarom, moeten we terug naar de oorsprong van de groep die hierachter zit.

Van Lizard Squad naar The COM:
waar het gedrag vandaan komt

Het gedrag van ShinyHunters is goed te verklaren. Om te begrijpen waarom ShinyHunters zich gedraagt zoals het doet, moeten we terug naar een periode van de opkomst van Lizard Squad. Tussen 2014 en 2016 om precies te zijn.

Lizard Squad veranderde niet de techniek van cyberaanvallen, maar creëerde wel een nieuw cultuur. Hun DDoS aanvallen waren luidruchtig, publiek en doelbewust zichtbaar. Aanvallen werden aangekondigd op Twitter, slachtoffers werden publiekelijk bespot en media-aandacht werd actief gezocht. Hier ontstond een idee dat later binnen The COM centraal zou staan: Reputatie is macht.

De aandacht trok nieuwe leden met vaardigheden aan, waardoor grotere operaties mogelijk werden.

Cybercrime werd daarmee deels entertainment, deels competitie en deels economische activiteit. Het ging niet alleen meer om geld verdienen, maar ook om status binnen een onlinegemeenschap. Die mentaliteitsverandering vormt de voorloper van ShinyHunters.

The COM

Na de ontmanteling van de Lizard Squad ontstond een Engelstalige cybercrimegemeenschap die onderzoekers later simpelweg The COM zijn gaan noemen. The COM is geen organisatie, geen forum en ook geen kartel. Het is eerder een gedeelde cultuur met overlappende platforms, identiteiten en netwerken.

RaidForums speelde hierin een centrale rol als technische marktplaats. Hier werden databases verhandeld, exploits gedeeld en leerden jonge operators hoe cloudomgevingen en webapplicaties werkten. Tegelijkertijd bestond OGUsers, een community waar de focus niet technisch was maar sociaal. Daar draaide alles om het verkrijgen van waardevolle online identiteiten, korte gebruikersnamen, social media accounts en telefoonnummers via manipulatie. SIM-swapping ontstond hier als vaardigheid. Social engineering werd hier aangeleerd. Het manipuleren van supportmedewerkers werd een specialisatie dat later vaak gebruikt zou worden om binnen te dringen bij organisaties.

Een belangrijk kanttekening is dat veel huidige COM actoren niet zijn opgegroeid als traditionele hackers. Ze begonnen vaak als identity-manipulators.

Nadat law enforcement RaidForums neerhaalde, gebeurde iets dat bepalend zou blijken. De gemeenschap verdween niet; maar werden decentraal. Telegram, Discord en gesloten invite-groepen vervulden deze rol. Sommige groepen verhuisden naar BreachForums, maar niet iedereen.

ShinyHunters koos er bewust voor om beperkt mee te migreren. BreachForums hanteerde een no fraud policy die financiële fraude beperkte. Voor een groep die opereerde op de grens tussen databreachhandel, extortion en identiteitsmisbruik was dat een beperking.

Waarom aandacht zo belangrijk is binnen The COM

Een belangrijk aspect dat vaak ontbreekt in publieke analyses is waarom groepen zoals ShinyHunters zo nadrukkelijk zichtbaar opereren. Dat gedrag lijkt onlogisch, als cybercrime alleen financieel wordt bekeken.

Binnen The COM heeft zichtbaarheid meerdere functies.

• Ten eerste fungeert aandacht als reputatiesysteem. Operators kiezen met wie zij samenwerken op basis van zichtbare successen. Een actor die grote organisaties publiekelijk onder druk zet, trekt affiliates aan.

• Ten tweede werkt aandacht als afschrikmiddel. Als een groep bekendstaat om het publiceren van data of het escaleren richting media, worden toekomstige onderhandelingen beïnvloed voordat ze beginnen.

• Ten derde is aandacht ook een vorm van recruitment. Nieuwe operators zijn vaak jonge social engineers uit OGUsers achtige gemeenschappen die zoeken groepen met momentum.

ShinyHunters begrijpt dit mechanisme goed. Publicaties zonder directe betaling, interviews en provocerende communicatie zijn daarom onderdeel van de strategie. Dit gedrag is rechtstreeks terug te voeren op de Lizard Squad-mentaliteit.

ShinyHunters is geen groep maar een…

Wanneer nieuwsmedia schrijven dat ShinyHunters een organisatie heeft gehackt, ontstaat een misleidend beeld. In werkelijkheid vertegenwoordigt de naam meestal slechts één fase van een aanval.

Binnen The COM ontstond een duidelijk onderscheid in specialisaties:

• Scattered Spider ontwikkelde zich tot expert in helpdesk-impersonatie en MFA-bypass.

• LAPSUS$ specialiseert zich in insider recruitment en menselijke toegang.

• ShinyHunters richt zich op data-exfiltratie en extortion.

Deze groepen delen infrastructuur, leden en tooling. In meerdere campagnes werd die samenwerking zo nauw dat analisten spraken van Scattered LAPSUS$ Hunters. De samenwerking werd verder zichtbaar toen een gezamenlijk RaaS platform genaamd ShinySp1d3r, werd aangekondigd.

Hier werd cybercrime expliciet georganiseerd als service-model:

• social engineers leveren toegang

• insiders leveren rechten

• ShinyHunters beheert publicatie en monetisatie.

Het is deze supply chain die attributie moeilijk maakt. Een aanval lijkt één groep te betreffen, maar bestaat uit meerdere gespecialiseerde actoren.

De strategische verschuiving:
van datahandel naar extortion

In de periode tussen 2020 en 2024 verdiende ShinyHunters vooral geld met het verkopen van datasets. GitHub repositories werden gescand op tokens, cloudomgevingen onderzocht op misconfiguraties en credentials hergebruikt. De groep functioneerde als een Initial Access Broker.

Rond eind 2024 veranderde dit model. Encryptie-ransomware werd minder effectief, terwijl binnen The COM al langer sextortion-achtige beslismodellen circuleerden. Deze modellen categoriseerden slachtoffers op basis van gedrag en bepaalden welke drukmiddelen werden ingezet. Hier komen we later op terug.

ShinyHunters nam dat model over en pasten dit toe om internationale organisaties.

Publicatie zonder betaling, media-contact en reputatieschade passen binnen deze strategie. Het doel is niet alleen betaling, maar dominantie binnen het cybercrime-ecosysteem.

ShinyCorp en het recruitmentproces

Binnen dit model verschijnt de actor bekend als ShinyCorp als leider. Intelligence onderzoek toont dat recruitment actief plaatsvindt via Telegramkanalen zoals Sim Land, waarin een community van SIM-swappers, callers en social engineers elkaar vinden.

Hier wordt zichtbaar waarom ShinyHunters voortdurend evolueert. Operators worden ingehuurd per campagne. Sommige brengen Scattered Spider-achtige vishing technieken mee, anderen technische cloudervaring uit RaidForums-kringen.

De naam blijft het zelfde, maar de uitvoering verandert. ShinyHunters is daardoor minder een groep dan een platform.

AI-ondersteunde vishing

Vanaf eind 2024 word social engineering steeds vaker waargenomen als initiele toegangsmethode. Vishingcampagnes worden uitgevoerd door gespecialiseerde callers-for-hire clusters zoals UNC6040. De gesprekken volgen een strak script gebaseerd op decision trees. Deze scripts worden vaak geimplementeerd in geavanceerde phisingkint waar ShinyHunters gebruik ban maakt.

Onderzoek toont dat deze operaties gebruikmaken van:

• realtime phishingpanels die tijdens gesprekken worden aangepast.

• scripts die veranderen afhankelijk van slachtofferreacties.

• AI-voice tooling om accenten en toon consistent te houden en gesprekken te leiden zoals Vapi en Bland.

• VoIP diensten als Twilio, Google Voice en 3CX worden ingezet

• backendinterfaces waarmee infrastructuur live wordt aangepast.

De aanvaller begeleidt het slachtoffer door een proces dat voelt als samenwerking. De psychologie is belangrijker dan de techniek. De aanval slaagt omdat hij geloofwaardig is.

Waarom Salesforce wereldwijd centraal werd

De recente golf Salesforce incidenten vormt een belangrijk onderdeel van het ShinyHunters verhaal. Aanvallers ontdekten dat identity toegang tot SaaS-platformen vaak waardevoller is dan netwerktoegang.

Tijdens vishing wordt IT-personeel begeleid naar het autoriseren van een Connected App die lijkt op legitieme tooling zoals SalesForce Data Loader. Zodra autorisatie plaatsvindt ontstaat API-toegang waarmee enorme datasets kunnen worden geëxporteerd zonder malware of exploit. Dit patroon werd wereldwijd gezien bij meerdere organisaties en leidde zelfs tot waarschuwingen van zowel Saleforce als de FBI.

Extortion als psychologische operatie

Pas nadat data is buitgemaakt verschijnt ShinyHunters zelf in beeld, zoals eerder besproken. Binnen hun operaties wordt een duidelijke decision tree toegepast. Slachtoffers worden geclassificeerd op basis van gedrag: reageren ze, onderhandelen ze, weigeren ze, of verbreken ze contact? Afhankelijk daarvan worden drukmiddelen ingezet.De publicatie van een lijst met federale medewerkers in een eerdere campagne laat zien hoe ver deze escalatie kan gaan. Het doel is niet alleen betaling maar reputatieopbouw binnen het cybercrime-ecosysteem. Angst en zichtbaarheid versterken toekomstige onderhandelingen.

Dit is cruciaal voor de discussie rond Odido. Betalen beëindigt het proces niet noodzakelijk. Zodra data onderdeel wordt van het extortionmodel behoudt het waarde, ongeacht betaling. Dit is ook waarom de vraag “waarom betaalt Odido niet?” verkeerd is gesteld. Betalen beëindigt het model niet; het bevestigt het.

Detectie: wat dit betekent voor Odido

Het erkennen van een geavanceerde tegenstander betekent niet dat organisaties niets anders hadden kunnen doen. Google’s threat intelligence rapporten benadrukken dat detectie moet plaatsvinden op momenten die traditioneel onderbelicht blijven:

• nieuwe OAuth of Connected Apps;

• onverwachte MFA-wijzigingen;

• plotselinge API-exportactiviteiten;

• privilege-uitbreiding door gebruikersaccounts;

• ongebruikelijke SaaS-sessies na helpdeskinteractie;

• toevoeging van integraties buiten change-processen.

Phishing resistente MFA, beperking van OAuth-rechten en data-segmentatie zijn mitigaties tegen dit aanvalstype.

Waarom het Odido-incident belangrijker is dan één datalek

Het incident bij Odido is niet alleen een beveiligingsincident, maar het moment waarop een internationale cybercrime-ontwikkeling zichtbaar werd voor het Nederlandse publiek.

ShinyHunters is geen uitzondering. Het is het resultaat van een cultuur die begon met Lizard Squad, volwassen werd binnen The COM en uiteindelijk veranderde in een professionele extortionindustrie. De moderne aanvaler probeert niet binnen te breken. Hij probeert legitiem binnen te komen. En zolang we dat niet begrijpen, blijven we na elk datalek dezelfde vraag stellen, terwijl het antwoord al jaren zichtbaar is. Daarom, begrijp de aanvaller en weet waar je verdediging, detectie en mitigatie noodzakelijk is.