# ShinyHunters > [!warning] **ShinyHunters** é um grupo de ameaça atribuído a **Ocidente (anglófono)** ativo desde **2019**. ## Descrição ShinyHunters é um grupo de **cibercrime financeiramente motivado**, ativo desde 2019, especializado em **roubo massivo de dados e extorsão**. O grupo opera no modelo "pay or leak" - dados roubados são vendidos ou vazados em fóruns da dark web caso o resgaté não sejá pago. O grupo possui vínculos operacionais com [[g1015-scattered-spider|Scattered Spider]], [[g1004-lapsus|Lapsus$]] e a comunidade "The Com". **Também conhecido como:** ShinyHunters, ShinyCorp, sp1d3rhunters, shinyc0rp, UNC604 ## Estrutura e Membros O grupo é liderado pela persona **ShinyCorp**, ativa no Telegram e em fóruns como BreachForums, OGUsers e DarkForums. A estrutura inclui: - **ShinyCorp** - Líder, recrutamento de afiliados, venda de dados - **Rey** - Acesso inicial via brute force em VPN/firewalls e exploração de vulnerabilidades - **Sevy** - Engenharia social e campanhas de vishing Os membros são predominantemente anglófonos do Ocidente (América do Norte e Reino Unido), com operação intercambiável entre grupos aliados. ## Campanhas Notáveis ### 2024 - **[[ticketmaster-breach-2024|Ticketmaster]]** - Roubo de PII e dados de ingressos de milhões de usuários - **[[att-data-breach-2024|AT&T]]** - Duas violações, exfiltrando dados de 110M+ clientes e 50B+ registros de chamadas; a AT&T pagou US$ 370 mil em resgaté - **[[snowflake-data-theft|Snowflake]]** - Comprometimento via supply chain cloud/SaaS - **Santander** - 30M clientes afetados na Espanha, Chile e Uruguai ### 2025–2026 - **[[salesforce-gainsight-oauth-attack|Salesforce/Gainsight]]** - Ataque massivo via OAuth em centenas de instâncias Salesforce, expondo ~1 bilhão de registros - **Qantas, Allianz Life, LVMH, Adidas, Google** - Alvos em múltiplos setores - Lançamento do novo DLS (Data Leak Site) "SHINYHUNTERS" em janeiro de 2026 ## Attack Flow ```mermaid graph TB A["Vishing com IA<br/>Impersonação TI"] --> B["SSO/MFA Bypass<br/>Session Hijack"] B --> C["OAuth Token Theft<br/>Apps Maliciosos"] C --> D["SaaS Data Access<br/>Salesforce / CRM"] D --> E["Exfil Automatizada<br/>Data Loader API"] E --> F["Pay or Leak<br/>DLS / Telegram"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D laranja class E,F azul ``` **Legenda:** Vishing com IA impersonando suporte de TI para bypass de SSO/MFA, roubo de tokens OAuth via apps conectados maliciosos, acesso massivo a dados de CRM/SaaS (Salesforce, Snowflake), exfiltração automatizada via APIs legítimas e extorsão via modelo pay-or-leak. ## Técnicas Utilizadas O ShinyHunters prioriza **engenharia social sobre malware**, usando vishing para bypass de SSO/MFA e exfiltração via SaaS. ### Acesso Inicial - [[t1566-phishing|T1566 - Phishing]] - Vishing com IA (Twilio, Google Voice, Vapi/Bland AI) impersonando suporte de TI; lures mobile-first com impersonação de subdomínios - [[t1078-valid-accounts|T1078 - Valid Accounts]] - Abuso de credenciais SSO pós-vishing; hijacking de sessão ### Acesso a Credenciais - [[t1528-steal-application-access-token|T1528 - Steal Application Access Token]] - Roubo de tokens OAuth via apps conectados maliciosos (ex: "My Ticket Portal" no Salesforce/Gainsight) - [[t1621-multi-factor-authentication-request-generation|T1621 - Multi-Factor Authentication Request Generation]] - Indução de usuários a aprovar MFA durante vishing ### Coleta e Exfiltração - [[t1213-data-from-information-repositories|T1213 - Data from Information Repositories]] - Targeting de CRM/ERP/SaaS para dados de clientes - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - Exfiltração via APIs legítimas (Salesforce Data Loader) - [[t1020-automated-exfiltration|T1020 - Automated Exfiltration]] - Queries automatizadas para roubo em massa ### Persistência - [[t1098-001-additional-cloud-credentials|T1098.001 - Account Manipulation: Additional Cloud Credentials]] - Apps OAuth maliciosos disfarçados de ferramentas legítimas - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] - Supply chain via Gainsight/Salesforce; recrutamento de insiders ### Execução - [[t1059-006-python|T1059.006 - Command and Scripting Interpreter: Python]] - Ferramentas Python customizadas para exfiltração ## Relevância para a LATAM O grupo tem impacto direto na América Latina: - **Santander** - 30 milhões de clientes afetados na **Espanha, Chile e Uruguai** - Alvos em múltiplos setores com presença na região, incluindo [[financial|financeiro]], [[telecommunications|telecomúnicações]] e [[retail|varejo]] ## Associações - [[g1015-scattered-spider|Scattered Spider]] - Colaboração operacional, técnicas compartilhadas (SIM swapping, MFA bypass) - [[g1004-lapsus|Lapsus$]] - Membros operam entre os grupos - **The Com** - Comunidade criminosa com 16+ canais Telegram compartilhados ## Impacto O ShinyHunters é responsável por algumas das maiores violações de dados dos últimos anos, com datasets vendidos por mais de US$ 1 milhão cada. A evolução para ataques em massa via OAuth contra plataformas SaaS como [[salesforce-gainsight-oauth-attack|Salesforce]] representa uma escalada significativa na capacidade do grupo. --- *Fontes: [MITRE ATT&CK - C0059](https://attack.mitre.org/campaigns/C0059/), [EclecticIQ](https://blog.eclecticiq.com/shinyhunters-calling-financially-motivated-data-extortion-group-targeting-enterprise-cloud-applications), [Google Cloud Blog](https://cloud.google.com/blog/topics/threat-intelligence/expansion-shinyhunters-saas-data-theft), [Wikipedia](https://en.wikipedia.org/wiki/ShinyHunters)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.