Adolescente se declara líder del grupo cibercriminal Scattered Lapsus$

Un adolescente de 15 años de Jordania, identificado como Saif Al-Din Khader, afirma ser una de las principales figuras del grupo cibercriminal Scattered Lapsus$ Hunters (SLSH), uno de los más activos del mundo. Esta revelación fue hecha tras investigaciones conducidas por el especialista en seguridad Brian Krebs, fundador del blog KrebsOnSecurity.

La historia comenzó con el lanzamiento del ShinySp1d3r, un servicio de ransomware desarrollado por el SLSH. El grupo anunció su nueva tecnología en un canal de Telegram, donde uno de los administradores, conocido como “Rey”, hizo el anuncio oficial.

Rey y su trayectoria en grupos cibercriminales

Rey tenía una fuerte presencia en otras organizaciones cibercriminales. Estuvo asociado al sitio del grupo de ransomware Hellcat, que ganó notoriedad por sus invasiones a empresas como Telefonica y Schneider Electric.

En una operación anterior, el grupo BreachForums, donde Rey actuó como administrador, fue objetivo del FBI. Esta conexión a la red de foros es relevante, ya que las autoridades creen que datos de ese foro fueron utilizados para facilitar extorsiones realizadas por el SLSH.

Identidad revelada por descuidos

A pesar de su papel protagónico, Rey no tuvo su identidad revelada por voluntad propia, sino por vulnerabilidades en su seguridad digital. Información personal divulgada en foros hizo que su localización e identidad fueran accesibles a expertos en ciberseguridad.

Intel 471, una empresa de ciberinteligencia, identificó a Rey como un usuario activo en diversos BreachForums, con más de 200 publicaciones entre febrero de 2024 y julio de 2025.

Varios seudónimos, un solo individuo

Antes de asumir la identidad de Rey, era conocido como Hikki-Chan, y su primer post incluía datos filtrados de una institución gubernamental. En una publicación también hecha bajo el nombre @wristmug, terminó revelando su dirección de correo electrónico y otras credenciales, facilitando el rastreo de su identidad.

Estos datos fueron confirmados a través del servicio SpyCloud, que ayudó a identificar que sus credenciales hayan sido filtradas en diversas ocasiones, lo que llevó a los investigadores a relacionarlo con dispositivos específicos en su ciudad natal.

Experiencias en grupos cibercriminales activistas

Rey también estuvo vinculado al Cyb3r Drag0nz Team, un grupo activista conocido por ataques dirigidos y filtraciones relacionadas con grupos que consideraban injustos. Este equipo ganó notoriedad por filtraciones de datos de ciudadanos israelíes en corrientes político-conflictivas.

Identidad confirmada e intenciones de cambio

Con la información recopilada, fue confirmada la verdadera identidad de Rey, quien es Saif Al-Din Khader. Krebs contactó a su padre al percibir la gravedad de la situación, aunque inicialmente él no creía en la seriedad de las denuncias.

Sin embargo, en una conversación con Krebs, Saif declaró que desea dejar el entorno criminal y está dispuesto a colaborar con las autoridades, incluida la operación Endgame.

“Estoy cooperando con las autoridades desde junio. No he cometido ninguna actividad ilícita desde septiembre,”

La postura de Saif ha generado repercusión, y su independencia en el SLSH fue cuestionada por el grupo, que alegó que sus declaraciones podrían ser intentos de desestabilizar su estructura.

El Scattered Lapsus$ Hunters, en respuesta, desafió la validez de las investigaciones de Krebs, alegando que las acusaciones eran infundadas y que había distorsiones en los relatos sobre sus operaciones.

Este caso destaca cómo la combinación de descuidos digitales y la vigilancia de la ciberseguridad pueden resultar en la exposición de individuos involucrados en actividades fraudulentas. Además, ilustra la complejidad de las relaciones digitales y el papel de las identidades digitales en la era de la información.

Las implicaciones futuras del testimonio y colaboración de Saif pueden reverberar en la manera como se tratan los casos de cibercrimen, aumentando la presión sobre actividades criminales en línea.