Adolescente se declara líder do grupo cibercriminoso Scattered Lapsus$

Um adolescente de 15 anos da Jordânia, identificado como Saif Al-Din Khader, afirma ser uma das principais figuras do grupo cibercriminoso Scattered Lapsus$ Hunters (SLSH), um dos mais ativos do mundo. Essa revelação foi feita após investigações conduzidas pelo especialista em segurança Brian Krebs, fundador do blog KrebsOnSecurity.

A história iniciou-se com o lançamento do ShinySp1d3r, um serviço de ransomware desenvolvido pelo SLSH. O grupo anunciou sua nova tecnologia em um canal do Telegram, onde um dos administradores, conhecido como “Rey”, fez o anúncio oficial.

Rey e sua trajetória em grupos cibercriminosos

Rey tinha uma forte presença em outras organizações cibercriminosas. Ele foi associado ao site do grupo de ransomware Hellcat, que ganhou notoriedade por suas invasões a empresas como a Telefonica e Schneider Electric.

Em uma operação anterior, o grupo BreachForums, onde Rey atuou como administrador, foi alvo do FBI. Essa conexão à rede de fóruns é relevante, pois as autoridades acreditam que dados desse fórum foram utilizados para facilitar extorsões realizadas pelo SLSH.

Identidade revelada por descuidos

Apesar de seu papel proeminente, Rey não teve sua identidade revelada por vontade própria, mas sim por vulnerabilidades em sua segurança digital. Informações pessoais divulgadas em fóruns tornaram sua localização e identidade acessíveis a especialistas em cibersegurança.

A Intel 471, uma empresa de ciberinteligência, identificou Rey como um usuário ativo em diversos BreachForums, com mais de 200 publicações entre fevereiro de 2024 e julho de 2025.

Vários pseudônimos, um só indivíduo

Antes de assumir a identidade de Rey, ele era conhecido como Hikki-Chan, e seu primeiro post incluía dados vazados de uma instituição governamental. Em uma publicação também feita sob o nome @wristmug, ele acabou revelando seu endereço de e-mail e outras credenciais, tornando mais fácil a rastreabilidade de sua identidade.

Esses dados foram confirmados por meio do serviço SpyCloud, que ajudou a identificar que suas credenciais foram vazadas em diversas ocasiões, fato que levou os investigadores a relacioná-lo a dispositivos específicos em sua cidade natal.

Experiências em grupos cibercriminosos ativistas

Rey também esteve vinculado ao Cyb3r Drag0nz Team, um grupo ativista conhecido por ataques direcionados e vazamentos relacionados a grupos que consideravam injustos. Esse time ganhou notoriedade por vazamentos de dados de cidadãos israelenses em correntes político-conflitivas.

Identidade confirmada e intenções de mudança

Com as informações coletadas, foi confirmada a verdadeira identidade de Rey, que é Saif Al-Din Khader. Krebs contatou seu pai percebendo a gravidade da situação, embora inicialmente ele não acreditasse na seriedade das denúncias.

No entanto, em uma conversa com Krebs, Saif declarou que deseja deixar o ambiente criminoso e está disposto a colaborar com as autoridades, incluindo a operação Endgame.

“Estou cooperando com as autoridades desde junho. Não cometi nenhuma atividade ilícita desde setembro,”

A postura de Saif tem gerado repercussão, e sua independência no SLSH foi questionada pelo grupo, que alegou que suas declarações poderiam ser tentativas de desestabilizar sua estrutura.

O Scattered Lapsus$ Hunters, em resposta, desafiou a validade das investigações de Krebs, alegando que as acusações eram infundadas e que havia distorções nos relatos sobre suas operações.

Esse caso destaca como a combinação de descuidos digitais e a vigilância da cibersegurança podem resultar na exposição de indivíduos envolvidos em atividades fraudulentas. Além disso, ilustra a complexidade das relações digitais e o papel das identidades digitais na era da informação.

As implicações futuras do testemunho e colaboração de Saif podem reverberar na maneira como casos de cibercrime são tratados, aumentando a pressão sobre atividades criminosas online.