Você provavelmente já ouviu falar dos grupos cibercriminosos Lapsus$, Scattered Spider e o ShinyHunters. Talvez também conheça o Scattered Lapsus$ Hunters, ligado ao ataque contra a Salesforce e a Salesloft, registrado no início deste semestre.
Mas você sabe qual é a origem desses coletivos? E lembra do adolescente fundador do Lapsus$, que criou um vasto império do cibercrime e chegou a ameaçar vazar o código do GTA 6 após invadir a produtora usando um FireTV de um quarto de hotel — e que hoje está preso?
O TecMundo vem acompanhando esses grupos desde o começo, passando pelo auge do Lapsus$, a prisão de Arion Kurtaj — o jovem de 20 anos apontado como líder — e o consequente hiato nas atividades do coletivo.
Agora, vamos explicar como esses atores do crime cibernético (Lapsus$, Scattered Spider e ShinyHunters) se articularam para criar o grupo que promoveu um dos maiores ataques do ano. E nem sempre a motivação foi financeira.
Como surgiu o Lapsus$?
A trajetória começa em 2015, com as primeiras ações do coletivo brasileiro Cyberteam, que entre 2015 e 2020 realizou DDoS e defacement no Brasil. O Lapsus$ nasceu da fusão do antigo Cyberteam com o Recursion Team, time mais voltado a SIM swapping e ao uso indevido de Emergency Disclosure Requests.
Esses pedidos de divulgação de emergência (EDR) exploravam brechas em um procedimento usado por agências norte-americanas para obter dados sensíveis de empresas de tecnologia em situações críticas. Na prática, os integrantes do grupo se passavam por autoridades, muitas vezes usando e-mails reais de órgãos policiais acessados de forma ilícita.
Primeiro ataque público: Ministério da Saúde (2021)
O primeiro ataque público atribuído ao Lapsus$ que registramos ocorreu em 10 de dezembro de 2021 — e foi contra um alvo de grande porte. O Ministério da Saúde do Brasil teve seus sistemas comprometidos e mais de 50 terabytes de dados exfiltrados e apagados. O incidente derrubou a base de dados de vacinação contra a COVID-19 por volta da 1h da manhã. O site do ministério ficou fora do ar com a mensagem: “Entre em contato conosco se quiser seus dados de volta”, acompanhada por contatos no Telegram e e-mail.
Essa estreia deixou clara a marca do Lapsus$: ataques destrutivos contra alvos de alto impacto, com exposição pública e comunicação direta. Nos meses finais de 2021, o grupo mirou empresas da América do Sul e de Portugal, como a Claro e Embratel, os Correios, Impresa — grupo de mídia português — e a SIC, principal emissora de TV de Portugal.
A virada de 2022: mirando grandes empresas
Em 2022 o Lapsus$ alterou radicalmente seu modus operandi. Em janeiro, comprometeram a conta de um engenheiro de suporte da Sitel — provedora de serviços que atendia a Okta — e permaneceram com acesso à infraestrutura por cinco dias, expondo de planilhas com senhas de administradores a toda a base de clientes.
O ataque ocorreu entre 16 e 21 de janeiro, mas o grupo só divulgou provas em 22 de março, publicando prints que demonstravam a invasão da infraestrutura da Okta, gerando pânico antes mesmo de a empresa comunicar seus clientes.
NVIDIA: 1 TB de dados vazados
O alvo passou a ser corporações de grande porte. Não tanto pela busca por resgate — muitas recusavam pagar — mas pela visibilidade. Em fevereiro de 2022, a NVIDIA foi violada e teve 1 terabyte de dados exfiltrados, incluindo:
- O código-fonte de GPUs como a RTX 3090Ti;
- Arquivos completos de design e engenharia de chips gráficos;
- Hashes de credenciais de mais de 71 mil funcionários;
- Dois certificados de assinatura de código usados para validar softwares oficiais.
Com os certificados, atacantes poderiam assinar programas falsos como se fossem legítimos. O grupo exigiu US$ 1 milhão para remover limitações à mineração de criptomoedas nas GPUs, mas a NVIDIA recusou negociar e os arquivos foram vazados.
Março de 2022: sequência de incidentes
Março de 2022 foi intenso. No dia 4, o Lapsus$ comprometeu a Samsung e vazou mais de 190 GB de código-fonte, incluindo código de autenticação biométrica e o bootloader da linha Galaxy. Em 8 de março, o Mercado Livre teve dados de mais de 300 mil clientes expostos.
Em 10 de março a Ubisoft relatou uma invasão — sem comprometimento de dados, segundo a empresa — e em 17 de março a T-Mobile teve trechos de código fonte roubados; os criminosos até tentaram, sem sucesso, acessar contas do FBI e do Departamento de Defesa dos EUA.
Microsoft e Globant: escalada
No dia 20 o cenário se agravou. A Microsoft teve 37 GB de dados vazados — incluindo cerca de 90% do código do Bing, além de partes do Bing Maps e da Cortana. A invasão foi detectada enquanto ocorria e a empresa conseguiu interromper o ataque. Ainda no mês, o Lapsus$ invadiu a Globant e exfiltrou 70 GB de código-fonte de clientes como Facebook, DHL, C-SPAN, Citibank e Electronic Arts.
Como o Lapsus$ atuava?
O Lapsus$ ficou conhecido mais pela engenharia social do que por complexidade técnica. Eles investiam em coleta e monitoramento das vítimas antes dos golpes, o que permitia ataques eficientes sem recorrer a malwares sofisticados. Uma pesquisa no LinkedIn ou informações públicas de vazamentos anteriores bastavam para ludibriar help desks e obter acessos.
Embora usassem dados de redes sociais, muito do sucesso do grupo veio do aproveitamento de vazamentos anteriores. Em suma, eles seguiram os rastros deixados por outros coletivos criminosos.
Fadiga de autenticação multifator
Os ataques também exploravam o cansaço dos alvos: por exemplo, em setembro de 2022 contra a Uber, o grupo aplicou a chamada fadiga de autenticação multifator — inundando o colaborador com notificações push até que ele aceitasse por engano, permitindo o acesso ao sistema.
Reinvestimento: pagamento a insiders
Parte do dinheiro arrecadado era reinvestido para corromper insiders. O grupo oferecia pagamentos, por exemplo, de US$ 20 mil por semana a funcionários de operadoras dispostos a ajudar com SIM swapping — técnica usada para roubar números de telefone e interceptar códigos por SMS. Além disso, usavam EDRs falsos para burlar defesas.
Também anunciavam recompensas generosas em canais do Telegram para funcionários que fornecessem credenciais, aprovassem solicitações de MFA ou instalassem backdoors. O Lapsus$ levou o recrutamento público de colaboradores para o cibercrime a um novo patamar.
Com acessos legítimos, os invasores preferiam ferramentas como RDP, AnyDesk, TeamViewer e comandos nativos do Windows em vez de malwares personalizados. Ferramentas administrativas como ADExplorer e RVTools eram usadas para mapear ambientes e localizar alvos valiosos.
Em alguns incidentes, chegaram a usar drivers vulneráveis assinados (técnica BYOVD — Bring Your Own Vulnerable Driver) para desativar softwares de segurança. Em demonstração de audácia, os criminosos participaram de chamadas de resposta a incidentes das vítimas, monitoravam Slack e Microsoft Teams para ajustar ações em tempo real, e até assumiam telas compartilhadas para apagar recursos ao vivo.
Scattered Spider: foco em lucro
Enquanto o Lapsus$ acumulava notoriedade, surgiu outro coletivo: o Scattered Spider — também chamado UNC3944, Octo Tempest, Oktapus e Muddled Libra — com atividades iniciadas em maio de 2022. Ambos os grupos derivavam do mesmo ecossistema, The Com, uma comunidade online com mais de mil adolescentes que começou sequestrando contas de Instagram e progrediu para operações mais sérias. Muitos membros eram compartilhados entre Lapsus$ e Scattered Spider, levando táticas e infraestrutura.
A distinção principal era o objetivo: se o Lapsus$ buscava visibilidade (com lucro como efeito colateral), o Scattered Spider priorizava ganho financeiro, passando a colaborar com operadores profissionais de ransomware.
Ataques a cassinos em Las Vegas
O grupo ganhou notoriedade em setembro de 2023 ao atacar duas grandes operadoras de cassinos: MGM Resorts International e Caesars Entertainment. No caso da MGM, eles obtiveram acesso a sistemas Okta e Azure usando credenciais de administradores, empregando táticas clássicas de engenharia social contra help desks.
A interrupção nas operações durou 10 dias e causou prejuízos superiores a US$ 100 milhões; a MGM recusou pagar. A Caesars, por sua vez, concordou em pagar metade do resgate — cerca de US$ 15 milhões — para impedir a divulgação de dados de clientes.
Em 2024, o Scattered Spider se juntou ao ShinyHunters para uma campanha massiva contra ambientes Snowflake, plataforma de dados em nuvem. Em uma única operação, afetaram mais de 165 organizações, entre elas Ticketmaster, Santander Bank e AT&T. Esta última pagou cerca de US$ 370 mil em bitcoin para evitar a exposição dos dados.
Prisões a partir de 2024
O lucro elevado colocou o Scattered Spider na mira das autoridades. Em julho de 2024, Tyler Buchanan, apontado como líder, foi preso na Espanha com mais de US$ 27 milhões em bitcoin. No mês seguinte, um adolescente foi detido no Reino Unido em conexão com o ataque à MGM. Desde então, pelo menos mais cinco pessoas foram presas sob suspeita de envolvimento.
Um dos casos recentes envolve Thalha Jubair, de 19 anos, acusado de “conspirar para cometer fraudes cibernéticas, financeiras e lavagem de dinheiro” — enfrentando pena máxima de 95 anos.
Apesar do risco, os ganhos atraíam participantes: em 2024 o grupo atacou varejistas britânicos como Marks & Spencer, The Co-op e Harrods com o ransomware DragonForce, e ampliou operações para os EUA, mirando também seguradoras e companhias aéreas.
O jovem por trás do vazamento do GTA 6
Em setembro de 2022, trechos de uma build inicial do GTA 6 foram divulgados online, gerando grande comoção já que o jogo ainda não havia sido lançado. O responsável ameaçou vender o código do GTA 6 e pediu que funcionários da Rockstar contatassem-no para negociar um resgate.
Ele exigia pagamentos de, no mínimo, 5 dígitos.
Pouco depois, em setembro, Arion Kurtaj — líder do Lapsus$ e que havia conversado com o TecMundo meses antes — foi preso. Internado em instituição psiquiátrica, ele invadiu a Rockstar usando um FireStick e um celular, e chegou a ameaçar a empresa via Slack.
Quem é Arion Kurtaj?
Conhecido online por alcunhas como SigmA, Alexander Pavlov, Lapsus$, wh1te, pornpeternew, breachbase, oklaqq, shadowariom4384, ToyotaCorrola, HackD0001, DDoSshop, OfficialPole, nutnether, ArionK4 e arion4384, ele tinha 16 anos nos primeiros ataques. Outros seis jovens ligados ao grupo também foram detidos.
Um membro brasileiro segue detido desde outubro de 2022, embora seu status atual não seja público. Dos cinco indivíduos presos em março de 2022, não há informações públicas recentes sobre paradeiro ou situação legal.
Scattered Lapsus$ Hunters: a fusão
Não seria surpresa que o legado de Kurtaj inspirasse novos coletivos. Em agosto deste ano surgiu o Scattered Lapsus$ Hunters — um “megazord” que reúne Scattered Spider, Lapsus$ e ShinyHunters.
Cada coletivo contribuiu com sua especialidade:
- Scattered Spider: acesso inicial por engenharia social;
- ShinyHunters: exfiltração e divulgação dos dados;
- Membros do Lapsus$ (não necessariamente os fundadores): engenharia social.
Há indícios de que, embora só tenham ganhado destaque em 2025, as atividades do grupo começaram já em 2024.
O ataque à Salesforce e à Salesloft
Entre outubro de 2024 e setembro de 2025, o coletivo conduziu uma campanha complexa contra a Salesforce e centenas de organizações. A operação combinou dois vetores principais, interligados.
A primeira onda, apelidada UNC6040, empregou vishing (phishing por voz) para enganar funcionários da Salesforce. Os atacantes se passavam por equipes de TI e utilizaram inteligência artificial para clonar vozes e sotaques, escalando chamadas para milhares de alvos simultaneamente.
Assim, induziam funcionários a autorizar “Connected Apps” maliciosos na plataforma, gerando tokens OAuth de longa duração que ignoravam a autenticação multifator, garantindo acesso persistente e programático ao CRM sem rastros óbvios.
O grupo afirma ter roubado entre 989 milhões e 1,5 bilhão de registros
A segunda onda, UNC6395, explorou a cadeia de suprimentos: comprometeram o GitHub da Salesloft e o ambiente AWS do chatbot Drift — que se integra à Salesforce — extraindo tokens OAuth que abriram acesso a instâncias de centenas de empresas.
Entre março e agosto de 2025, invasores obtiveram dados de organizações dos setores de tecnologia, cibersegurança, aviação, varejo, luxo e finanças, incluindo:
- Google;
- Cloudflare;
- Palo Alto Networks;
- Qantas;
- Allianz Life;
- Kering/Gucci.
O foco eram os tickets de suporte da Salesforce, que frequentemente contêm credenciais, chaves AWS, tokens Snowflake e senhas em texto simples. Calcula-se que mais de 700 organizações tenham sido afetadas, embora apenas parte delas tenha sido confirmada publicamente.
O grupo alega ter exfiltrado entre 989 milhões e 1,5 bilhão de registros, incluindo dados pessoais sensíveis, informações de clientes, credenciais corporativas, tokens de acesso, nomes completos, números de documentos, endereços, e-mails, telefones, histórico de compras, detalhes de programas de fidelidade e, em alguns casos, dados de cartões de pagamento.
Os impactos variaram por setor: companhias aéreas tiveram programas de fidelidade expostos, marcas de luxo vazaram perfis de clientes de alto patrimônio, e seguradoras viram apólices e informações de segurados comprometidas.
Extorsão: cerca de US$ 1,3 milhão em bitcoin
Os invasores exigiram da Salesforce o pagamento de 20 bitcoins — aproximadamente US$ 1,3 milhão — para não divulgar dados de 39 empresas listadas, ameaçando liberar registros, acionar escritórios jurídicos, notificar reguladores nos EUA e Europa e publicar documentos alegando negligência da companhia.
A Salesforce, por sua vez, negou comprometimento direto da plataforma e afirmou não haver evidências de exploração de vulnerabilidades em seus sistemas, mantendo suporte ativo às empresas afetadas.
O que dizem os especialistas?
Peritos em segurança avaliam que o Scattered Lapsus$ Hunters representa uma evolução do Lapsus$ original, aprendendo com prisões anteriores, explorando terceirizados e consultorias como vetores multiplicadores de acesso, e formando parcerias com outros grupos, como o Crimson Collective. O coletivo também reivindicou ataques recentes contra Discord e Zendesk.
O Scattered Lapsus$ Hunters declarou ter encerrado atividades. Membros publicaram uma carta nos canais do grupo afirmando o hiato.
 "como um adolescente de 16 anos ergueu um império — e o megazord — do crime cibernético 2")
Segundo eles, o grupo ficará em silêncio e se manterá oculto — ao menos sob esse nome. No entanto, já afirmaram que é possível que o nome reapareça futuramente, pois existem ataques cujos resgates ainda não foram negociados.
Recentemente, o grupo ressurgiu com nova tática: um site para negociar o resgate de mais um grande vazamento de dados de clientes Salesforce. Caso não haja acordo até 10 de outubro de 2025, prometeram expor as informações.
No total, o Scattered LAPSUS$ Hunters diz ter obtido mais de 1 bilhão de registros. Empresas citadas no site incluem Disney, Hulu, McDonalds, Cisco, KFP, Cartier, Chanel, Puma, HBO Max e Fujifilm.
Entre prisões e ataques a grandes empresas, resta acompanhar os próximos capítulos dessa história.
Como denunciar ao TecMundo
O TecMundo apoia o trabalho de hackers éticos; nossos canais de contato são:
