O grupo hacker Scattered Spider, também conhecido como UNC3944, Muddled Libra, Octo Tempest entre outros apelidos, representa hoje uma das maiores ameaças cibernéticas globais. Formado em meados de 2022 por um coletivo de jovens hackeadores dos Estados Unidos e Reino Unido, o grupo se notabilizou pela combinação letal de engenharia social avançada, golpes de SIM swap e ataques direcionados a help desks para fraudar sistemas de autenticação multifator (MFA) e dominar redes corporativas.
O modus operandi do Scattered Spider utiliza principalmente táticas humanas: desde chamadas de telefone (vishing) com simulação de urgência até phishing e smishing. Em muitos ataques recentes, o grupo ligou se passando por colaboradores internos ou de TI, convencendo técnicos a reiniciarem senhas ou trocar tokens de MFA de vítimas — o que permite o acesso sem disparar alertas de invasão.
Após estabelecer entrada, os hackers usam ferramentas legítimas (como PowerShell, ADExplorer, AnyDesk, MobaXterm e Chisel) para obter privilégios, mover-se lateralmente, extrair credenciais (como o arquivo NTDS.dit do Active Directory) e instalar backdoors. Em seguida, recorrem a ransomware — entre os mais observados estão DragonForce (ALPHV), BlackCat/Qilin e outros variantes — além de realizar exfiltrações de dados para extorsão dupla: criptografam sistemas e ameaçam publicação de informações sensíveis.
De 2023 até 2025, as vítimas de maior destaque incluem o Caesars Entertainment (que pagou US$ 15 milhões), MGM Resorts (com prejuização estimado em US$ 100 milhões e ações judiciais), Aflac, Erie e Philadelphia Insurance na área de seguros, marcas britânicas como Marks & Spencer, Co‑op e Harrods, e até a Qantas, numa violação de dados de seis milhões de clientes.
Em junho de 2025, tanto o FBI quanto a Agência de Cibersegurança de Singapura emitiram alertas confirmando que o Scattered Spider expandiu suas operações para o setor de aviação, com ataques direcionados a companhias aéreas dos EUA, Canadá, Austrália e fornecedores de TI da aviônica. As táticas são as mesmas: golpes de MFA via help desk e isolar sistemas, visando roubo de informações e eventual ransomware.
Na Austrália, a Qantas confirmou que cerca de seis milhões de cadastros de clientes (nomes, datas de nascimento, telefones, e‑mails e números de frequent flyer) foram comprometidos. O ataque ocorreu em um call center terceirizado em Manila, acreditando-se no uso de técnicas de “vishing” para enganar funcionários externos.
Apesar de prisões ocorrerem em 2023 e 2024 — com destaque para Tyler Buchanan, de 23 anos, e o americano Noah Urban, “King Bob” —, as operações persistem e evoluem, motivadas por sua estrutura descentralizada e a fluidez de seus canais (Discord, Telegram), o que dificulta sua interrupção completa.
O relatório da agência Silent Push (abril/2025) e da Coalition (junho/2025) mostram que, após as fases iniciais de ataque, Scattered Spider tem renovado kits de phishing, usado novas variantes de RAT (como o Spectre), explorado domínios falsos (e.g. twitter-okta[.]com) e atacado consumidores de SaaS como Klaviyo, HubSpot e Pure Storage.
Especialistas como a CrowdStrike e CSO Online destacam que o segredo para se proteger está no reforço de processos: registrar de forma rígida e padronizada verificações em help desks, monitorar logs de uso de ferramentas remotas e identidade em nuvem, usar backups imutáveis e desconfiar de pedidos de MFA ou suporte solicitados fora de protocolos documentados — além, claro, de não pagar resgates, pois históricos mostram que isso apenas estimula novas investidas.
Em síntese, o Scattered Spider se mantém como uma ameaça cibernética altamente adaptável, perigosa e focada em engenharia social. A contínua escalada de ataques por setores e países, mesmo após prisões de líderes, comprova o grau de desconcentração e a sofisticação do grupo. Organizações globais devem reforçar políticas de acesso — sobretudo em help desks e serviços terceirizados —, incorporar monitoramento avançado, treinamento contínuo e cooperação internacional para enfrentar a ameaça real e crescente que este coletivo representa.