O Fio da Navalha Digital: Um Erro, Múltiplas Identidades
No universo sombrio do cibercrime, onde o anonimato é a moeda mais valiosa, a queda de um império pode começar com um simples deslize. Foi o que aconteceu com Rey, a figura central e porta-voz do temido coletivo Scattered LAPSUS$ Hunters (SLSH). Em um ato de ironia digital, o indivíduo que orquestrou complexas campanhas de extorsão contra dezenas de multinacionais foi desmascarado não por uma tecnologia de ponta, mas por uma falha humana trivial: a vaidade de compartilhar uma captura de tela em um chat de grupo. A teia começou a se desfazer quando a persona de Rey, sob o pseudônimo @wristmug no Telegram, postou uma imagem de um e-mail de sextorsão que havia recebido. Na tentativa de zombar da ameaça, ele redigiu seu nome de usuário, mas cometeu um erro fatal: deixou visível uma senha de 15 caracteres. Essa senha, única e complexa, tornou-se a chave mestra para conectar seus vários avatares digitais.
Investigadores e empresas de inteligência cibernética, ao cruzarem essa senha em bancos de dados de vazamentos, encontraram uma única correspondência: o endereço de e-mail cybero5tdev@proton.me. Este e-mail estava associado a um dispositivo infectado por um malware ladrão de informações no início de 2024, que sifonou todas as suas credenciais salvas. A partir daí, o castelo de cartas começou a ruir. O nome de usuário o5tdev emergiu, ligado a um passado de hacktivismo, incluindo o desfiguramento de websites com mensagens pró-Palestina como parte de um grupo conhecido como Cyb3r Drag0nz Team. Essa mesma identidade, o5tdev, também foi encontrada em canais de Telegram de língua árabe, discutindo ataques contra alvos israelenses. De repente, o criminoso financeiramente motivado Rey tinha uma história, uma ideologia e um rastro digital muito mais longo do que se imaginava.
Este efeito cascata, onde um único ponto de dados compromete todo um ecossistema de identidades falsas, é uma lição brutal sobre segurança operacional no submundo digital. Criminosos experientes vivem e morrem pela compartimentalização de suas personas. O erro de Rey não foi usar uma senha fraca, mas sim reutilizá-la e, pior ainda, exibi-la publicamente, mesmo que acidentalmente. Isso permitiu que analistas conectassem o hacktivista o5tdev, ao usuário de fóruns de crimes Hikki-Chan — que em fevereiro de 2024 se gabou de vazar dados do Centro de Controle e Prevenção de Doenças dos EUA (CDC) — e, finalmente, ao administrador Rey, o rosto público do SLSH. A jornada de um adolescente de ativista digital para um dos mais procurados extorsores cibernéticos foi, assim, mapeada por um único descuido.
De Ladrão de Dados a Empresário do Ransomware
O grupo liderado por Rey, o SLSH, é considerado uma fusão volátil de facções notórias como Scattered Spider, LAPSUS$ e ShinyHunters. Sua ascensão foi meteórica e barulhenta. Em maio de 2025, eles lançaram uma campanha devastadora de engenharia social, utilizando chamadas de voz para convencer funcionários de grandes empresas a conectar um aplicativo malicioso aos seus portais Salesforce. O resultado foi um tesouro de dados internos. Em seguida, o grupo lançou um portal de vazamentos, ameaçando publicar informações confidenciais de quase quarenta corporações, incluindo nomes de peso como Toyota, FedEx, Disney/Hulu e UPS, caso um resgate não fosse pago.
O modus operandi inicial do SLSH era multifacetado. Eles não apenas roubavam dados, mas também buscavam ativamente recrutar funcionários insatisfeitos. Em seu canal do Telegram, o grupo oferecia uma participação nos lucros do resgate para insiders que fornecessem acesso inicial às redes de seus empregadores. Essa tática ganhou notoriedade quando coincidiu com a notícia de que a gigante de cibersegurança Crowdstrike demitiu um funcionário por supostamente compartilhar capturas de tela de sistemas internos com o grupo. Embora a empresa tenha afirmado que seus sistemas nunca foram comprometidos, o incidente destacou a audácia e a eficácia do método de recrutamento do SLSH.
A evolução do SLSH de um coletivo caótico para uma operação criminosa mais estruturada é um microcosmo das tendências atuais do cibercrime. Inicialmente, o grupo funcionava como um afiliado, utilizando malwares de ransomware alugados de outras operações consolidadas, como ALPHV/BlackCat, Qilin e RansomHub. Na prática, eles terceirizavam a tecnologia de criptografia. Contudo, em uma demonstração de ambição, Rey anunciou recentemente o lançamento de sua própria operação de Ransomware-as-a-Service (RaaS), batizada de ShinySp1d3r. Esta transição de inquilino para proprietário de malware sinaliza uma maturação perigosa, permitindo ao grupo maior controle, maiores margens de lucro e a capacidade de recrutar seus próprios afiliados, escalando suas operações de forma exponencial.
O Jogo de Gato e Rato e o Fator Humano
A carreira de Rey não se limitou ao SLSH. Ele também assumiu a administração do famigerado BreachForums, um dos principais mercados de língua inglesa para compra e venda de dados roubados e um ponto de encontro para cibercriminosos. Este fórum, um sucessor espiritual de outros mercados desmantelados, foi repetidamente alvo de agências de aplicação da lei. Em outubro de 2025, o FBI anunciou mais uma vez a apreensão dos domínios do fórum, descrevendo-o como um centro nevrálgico para o crime digital.
"Esta ação remove o acesso a um centro-chave usado por esses atores para monetizar invasões, recrutar colaboradores e visar vítimas em múltiplos setores." - Comunicado do FBI
A insistência de Rey em reviver o fórum após cada apreensão revela um traço comum em muitos desses jovens atores: uma mistura de desafio, ego e a busca por status dentro da comunidade underground. A administração de um fórum tão proeminente conferia-lhe poder e respeito, mas também o colocava diretamente na mira das autoridades globais. Esse desejo por notoriedade é, frequentemente, o que leva a erros de segurança como o que expôs sua identidade.
A desmitificação da figura de Rey revela uma realidade surpreendente e, de certa forma, perturbadora. Por trás do cérebro técnico que aterrorizou salas de reuniões de conselhos de administração em todo o mundo, estava um adolescente. Em chats privados, Rey revelou ter 15 anos em 2024, mencionou ter família na Irlanda e que seu pai era piloto de avião. A revelação final veio quando, após ser rastreado, o contato foi feito com seu pai, levando o próprio Rey a confirmar sua identidade e concordar com uma entrevista. O titereiro digital, o administrador de fóruns criminosos e o líder de uma gangue de extorsão, no final das contas, era um jovem cujas ações no mundo virtual tiveram consequências massivas e inevitáveis no mundo real.
