New ‘shinysp1d3r’ Ransomware-as-a-Service Targets VMware ESXi in Ongoing Development
2025/09/18 gbhackers — AI を悪用する ShinyHunters が、ボイスフィッシング/サプライチェーン侵入に加えて、企業ネットワークへの直接アクセスを提供する従業員や請負業者といった悪意の内部関係者を介して、その活動を拡大していると、EclecticIQ のアナリストたちが高い確信を持って評価している。ShinyHunters は、小売/航空/通信などの業界で利用される SSO (single sign-on) プラットフォームへの、不正アクセスを提供するボイスフィッシング・キットを活用するために、Scattered Spider と The Com のメンバーに依存している可能性が高いとされる。
このアクセスを利用する ShinyHunters は、大量の顧客データを窃取し、被害組織から金銭を脅迫している。アナリストたちが観察しているのは、ShinyHunters のリーダーである ShinyCorp が、ランサムウェア関連組織やサイバー犯罪者たちに対して、盗み出した1社あたりのデータセットを、$1 million 以上の価格で積極的に販売している状況である。
EclecticIQ のアナリストが確認しているのは、”shinysp1d3r” という RaaS (ransomware-as-a-service) ネットワークが開発中であり、VMware ESXi 環境を暗号化する機能を備えていることだ。そして、このサービスを利用する ShinyHunters が、被害の範囲を拡大して、新たなアフィリエイトを獲得し、恐喝能力を強化する可能性があるとされる。
ShinyHunters が標的とするのは、Git バージョン管理/BrowserStack/JFrog/クラウド・プロジェクト管理プラットフォームなどの、高権限のエンジニア・アカウントであり、その CI/CD パイプラインへと侵入していく。
アナリストたちの分析によると、このような不正アクセスが、ShinyHunters によるサプライチェーン攻撃のベースになっている可能性が高いようだ。言うまでもなく、サプライチェーン攻撃とは、単一のアクセス・ポイント経由で、数千もの企業システムを侵害する戦術である。
2025年8月31日に、ShinyHunters が運営する Telegram チャンネル “scattered LAPSUS$ hunters 4.0” は、金融/保険/航空/通信などの業界の従業員に対して、Okta/Microsoft SSO/Citrix VPN/Git プラットフォームへのアクセスを提供する者に対して、報酬を支払うという募集メッセージを投稿した。信頼できる内部関係者への勧誘が示すのは、防御を回避していく深刻なリスクの存在である。
大規模な AI 駆動型音声フィッシング
ShinyHunters の関連組織は、Twilio/Google Voice/3CX などの VoIP サービスを利用し、音声フィッシング (ビッシング) 活動を強化している。さらに、Vapi/Bland といった AI 搭載プラットフォームを悪用し、ソーシャル・エンジニアリング通話を自動化している。
Bland の LLM は、被害者反応をベースにして動的に会話経路を生成し、設定可能な音声スタイルにより地域のアクセントや性別を模倣することで信頼性を高めている。アナリストたちは、Scattered Spider が大半の音声通話フィッシングを実施していると評価したが、ShinyHunters はコールセンター・ダッシュボード・ビッシング機能を、P1 Telegram ボットにアウトソーシングしている。
Google Voice を悪用する P1 サービスが、Coinbase ユーザーにビッシング攻撃を実行する事例が確認された。AI 対話管理とリアルな合成音声を組み合わせることで、ShinyHunters は前例のない規模でビッシング・キャンペーンを展開できる状況にある。
侵害された Salesforce CRM ダッシュボードは、Okta/Microsoft 365/Amazon S3 へのデータ流出と横方向移動を可能にする。最近の攻撃では、最大で 26GB のユーザー・アカウント/16GB の連絡先レコード/5.5GB のメール・ログが窃取されている。
このグループは、LimeWire を悪用することでデータ・サンプルを漏洩させ、被害者に対して7桁の恐喝金を要求する。ShinyCorp は盗んだ航空会社データを、Telegram や qTox チャンネル経由で、 1社あたり最大で $1 million という値付で販売していることも特定されている。
EclecticIQ のアナリストたちが観察しているのは、RaaS プラットフォーム shinysp1d3r が VMware ESXi 環境を標的に開発されていることだ。それが稼働すれば ShinyHunters の攻撃範囲は拡大し、復旧プロセスは複雑化していく。この攻撃が新規アフィリエイトを募るものであり、高価値の仮想環境を狙うという目的があると、アナリストたちは評価している。
緩和策
EclecticIQ のアナリストたちが推奨するのは、SSO アプリ全体に厳格なアクセス制御と監視を実装し、大量エクスポート権限を監査し、最小権限の原則を適用することだ。Salesforce/Okta/Microsoft 365 などの SSO プラットフォームには、ジャストインタイム・アクセスと IP 制限が不可欠である。
また、SIEM や SOAR による監視と異常検知で、大規模なデータ流出や不審な MFA イベントを検知する必要がある。従業員トレーニングに含めるべきは、対 AI 活用フィッシング演習/内部検証プロセス/MFA 疲労対策である。さらに、内部脅威シナリオを脅威モデルに組み込み、ハニーポットで不審活動を検知する必要がある。
ShinyHunters は、AI 悪用のソーシャル・エンジニアリング/サプライチェーン侵害/shinysp1d3r などに特化した RaaS サービスで進化を続けている。ユーザー組織にとって必要なことは、技術的制御と人間中心のセキュリティ対策を組み合わせた、多層防御の採用である。
AI を悪用する ShinyHunters が、音声フィッシングやサプライチェーン攻撃による侵入の形態を進化させているようです。その要因として注目すべきは、SSO やクラウド基盤の認証仕組みを悪用できる点と、内部関係者による不正アクセスです。認証や権限管理の抜け道が狙われ、Git や CI/CD といった開発環境も攻撃対象になっています。また、AI による自動通話で信頼性を高めることで、ユーザーを騙す手口も巧妙化しています。よろしければ、ShinyHunters で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.