Компания ReliaQuest за последние шесть месяцев обнаружила более 40 доменов, предположительно, тайпсквотированных, с именами вроде «znedesk.com» или «vpn-zendesk.com», которые имитируют порталы Zendesk. Некоторые из них содержат поддельные страницы единого входа для сбора учётных данных, в то время как другие используются для отправки мошеннических тикетов сотрудникам службы поддержки.

У доменов одинаковый регистратор (NiceNic), контактные данные в США или Великобритании, а также замаскированные серверы имён Cloudflare — профиль, практически идентичный предыдущей кампании по фальсификации, направленной на Salesforce. Это сходство наводит специалистов по безопасности на мысль, что за обеими схемами стоит одна и та же преступная группировка: Scattered Lapsus$ Hunters.

По данным ReliaQuest, злоумышленники, по всей видимости, используют цепочку имитации интерфейса поддержки для целенаправленных вторжений, отправляя вредоносные тикеты на легитимные порталы Zendesk, управляемые реальными организациями, и потенциально внедряя трояны удалённого доступа (RAT) непосредственно на компьютеры агентов. Оказавшись в системе, они могут перемещаться по корпоративным сетям, незаметно похищая интеллектуальную собственность или конфиденциальные данные.

Эти данные добавляют неприятный контекст к взлому Discord в сентябре 2025 года, в результате которого была скомпрометирована система поддержки платформы на базе Zendesk. В то время инцидент рассматривался как единичный случай кражи данных. Однако ReliaQuest утверждает, что эта утечка, вероятно, была делом рук Scattered Lapsus$ Hunters, а новые домены-имитаторы и тикеты указывает на то, что группа, вероятно, активизирует работу платформ поддержки в рамках своей стратегии атак. Ранее в этом месяце банда хвасталась в Telegram: «Подождите 2026 года, мы проводим 3-4 кампании», и посоветовала специалистам по реагированию на инциденты следить за своими журналами до января 2026 года, потому что «#ShinyHuntazz придёт собирать ваши клиентские базы данных».

«Вероятно, обнаруженная нами инфраструктура, связанная с Zendesk, является частью одной из таких кампаний. Scattered Lapsus$ Hunters взяли на себя ответственность за взлом платформы для управления успехами клиентов Gainsight в ноябре 2025 года; вполне возможно, что Zendesk станет второй целью этой кампании, обещанной в Telegram», — заявили в ReliaQuest.

Хакеры уже попали в заголовки новостей в этом году благодаря масштабной кампании против Salesforce. В октябре группа запустила сайт утечки данных в даркнете, заявив о краже данных десятков клиентов компании. Киберпреступники утверждают, что похитили до миллиарда записей, и угрожают опубликовать их, если требования выкупа не будут выполнены.

Scattered Lapsus$ Hunters представляет собой коалицию ранее разрозненных группировок: специалистов по социальной инженерии из Scattered Spider, ветеранов по краже данных из ShinyHunters и специализирующихся на вымогательстве Lapsus$.

Это делает их интерес к инфраструктуре службы поддержки логичным, поскольку Zendesk используют более 100 тысяч компаний для внутренних и внешних рабочих процессов поддержки.

Между тем компания CrowdStrike подтвердила увольнение «подозрительных инсайдеров», которые якобы передавали корпоративную информацию известной хакерской группе Scattered Lapsus$ Hunters. Те получили доступ к панели мониторинга со ссылками на ресурсы компании, включая панель Okta, используемую сотрудниками для доступа к внутренним приложениям.