Relatório revela mutação do grupo Lapsus$ em nova célula criminosa que atingiu mais de 1 bilhão de registros corporativos

Ataque à cadeia de suprimentos digital expôs brechas em integrações da Salesforce e acende alerta no mercado global de SaaS

Adnews

10.10.2025

Relatório revela mutação do grupo Lapsus$ em nova célula criminosa que atingiu mais de 1 bilhão de registros corporativos

Os “fantasmas digitais” do Lapsus$ estão de volta — e mais sofisticados. Um novo relatório da ZenoX, startup de cibersegurança do Grupo Dfense, aponta que uma célula derivada do coletivo hacker, autodenominada “Scattered Lapsus$ Hunters”, é responsável por um dos maiores ataques à cadeia de suprimentos já registrados, comprometendo entre 989 milhões e 1,5 bilhão de registros corporativos ao explorar vulnerabilidades em integrações da Salesforce.

Intitulado “Fantasmas Digitais: A Metamorfose do Lapsus$ em Scattered Hunters”, o estudo descreve a transformação do grupo — que entre 2021 e 2022 paralisou empresas como Microsoft, Nvidia e o Ministério da Saúde — em uma operação financeiramente motivada e estruturada. A ofensiva recente explorou uma falha na integração entre a Salesforce e a plataforma de engajamento de vendas Salesloft Drift, permitindo que os criminosos burlassem sistemas de autenticação multifator (MFA) por meio de tokens OAuth comprometidos.

As invasões afetaram corporações de múltiplos setores, incluindo Google AdSense, Cisco, Air France, KLM, FedEx, IKEA, Louis Vuitton, Toyota, McDonald’s, HBO Max, Allianz Life e TransUnion, entre outras.

“O que estamos testemunhando é a maturação de um fantasma. O Lapsus$ original provou que a engenharia social podia ser mais devastadora que qualquer malware. Agora, seus sucessores aprenderam a lição, uniram-se a grupos como Scattered Spider e ShinyHunters e industrializaram o método”, analisa Ana Cerqueira, CRO da ZenoX. “Atacar uma plataforma SaaS como a Salesloft foi como encontrar uma chave-mestra para entrar em centenas de empresas ao mesmo tempo.”

O relatório indica que os dados comprometidos incluem informações pessoais e corporativas sensíveis, como números de SSN, documentos, dados financeiros, histórico de compras, chaves de API e tokens de acesso.

A motivação do grupo foi revelada em um ultimato enviado à Salesforce, exigindo o pagamento de 20 bitcoins (cerca de US$ 1,3 milhão) até 10 de outubro de 2025. Caso o valor não seja pago, o grupo ameaça vazar os dados publicamente e colaborar com escritórios de advocacia e reguladores internacionais em ações contra a empresa — o que representa uma nova camada no modelo de “extorsão múltipla”.

“As defesas tradicionais são insuficientes contra adversários que exploram a confiança como vetor de ataque. A resposta passa pela inteligência proativa, monitorando parceiros e o submundo digital para antecipar ameaças antes que se tornem crises globais”, complementa Cerqueira.

logo

INBOX

Aprenda algo novo todos os dias.
Assine gratuitamente as newsletters da Adnews.

Digite o seu melhor email
SBT registra quarto mês de crescimento consecutivo e encurta distância para a vice-liderança em São Paulo | Flapper e Finca Propia anunciam parceria para oferecer experiências exclusivas entre mobilidade aérea premium e patrimônio internacional | Brasil soma 61 Leões em Cannes 2026