Laut Nixon unterscheidet sich SLSH in mehreren wesentlichen Punkten von herkömmlichen Datenerpressern. Zwar nutzen auch viele russische Ransomware-Gruppen Druckmittel wie Leak-Blogs im Darknet mit Datenproben und Countdown-Uhr oder die Benachrichtigung von Journalisten und Vorstandsmitgliedern. Bei SLSH eskaliere die Erpressung jedoch schnell weit darüber hinaus – bis zu Drohungen mit körperlicher Gewalt gegen Führungskräfte und deren Familien, DDoS-Angriffen auf die Webseite des Opfers und wiederholten E-Mail-Flut-Kampagnen.
SLSH dringt nach Nixons Angaben in Unternehmen ein, indem die Gruppe Mitarbeiter telefonisch per Phishing angreift und den erbeuteten Zugang nutzt, um interne Daten zu stehlen. In einem Blogbeitrag vom 30. Januar führte Googles Sicherheitsforensik-Firma Mandiant aus, dass die jüngsten Angriffe auf Vorfälle von Anfang bis Mitte Januar 2026 zurückgehen. Dabei gaben sich SLSH-Mitglieder als IT-Personal aus und riefen Beschäftigte an mit der Behauptung, das Unternehmen aktualisiere seine MFA-Einstellungen. „Der Angreifer leitete die Mitarbeiter auf mit dem Markenauftritt des Opfers versehene Seiten zum Abgreifen von Zugangsdaten, um deren SSO-Anmeldedaten und MFA-Codes abzufangen, und registrierte anschließend ein eigenes Gerät für die MFA", heißt es in dem Beitrag.
Oft erfahren Opfer erst von dem Angriff, wenn ihr Markenname in einer der kurzlebigen öffentlichen Telegram-Gruppen fällt, die SLSH gerade zum Drohen und Erpressen nutzt. Die koordinierte Belästigung sei Teil einer durchdachten Strategie, das Opfer durch erzeugte Demütigung zur Zahlung zu drängen. Mehrere Führungskräfte seien Ziel von „Swatting"-Angriffen geworden: SLSH meldete unter der Adresse des Opfers eine falsche Bombendrohung oder Geiselnahme, um einen bewaffneten Polizeieinsatz an dessen Wohnung oder Arbeitsplatz auszulösen.
„Ein großer Teil dessen, was sie den Opfern antun, ist der psychologische Aspekt – etwa die Kinder von Führungskräften zu belästigen und den Vorstand zu bedrohen", sagte Nixon gegenüber KrebsOnSecurity. Während die Opfer Erpressungsforderungen erhielten, würden sie zugleich von Medien kontaktiert, die um eine Stellungnahme zu den geplanten negativen Berichten bäten.
In einem aktuellen Blogbeitrag argumentiert Unit 221B, niemand solle mit SLSH verhandeln, da die Gruppe Opfer auf Basis von Versprechen erpresse, die sie nicht zu halten gedenke. Alle bekannten Mitglieder stammten aus „The Com", einem Geflecht auf Cyberkriminalität ausgerichteter Discord- und Telegram-Gemeinschaften. Solche Com-Gruppen neigten zu internen Fehden, Lügen, Verrat und Sabotage. „Bei dieser Art anhaltender Dysfunktion, oft verschärft durch Substanzmissbrauch, sind diese Akteure häufig nicht in der Lage, eine erfolgreiche, strategische Erpressungsoperation zum Abschluss zu bringen", schreibt Nixon.
Während Einbrüche etablierter Ransomware-Gruppen sich um Verschlüsselungs-Malware drehen, sei eine Erpressung durch eine Com-Gruppe oft wie eine gewaltsame Sextortion gegen Minderjährige aufgebaut: Man stehle belastende Informationen, drohe mit deren Veröffentlichung und „verspreche" die Löschung bei Kooperation – ohne jede Garantie oder technischen Nachweis. Ein zentraler Baustein sei die Manipulation der Medien, um die Bedrohung aufzubauschen. „An Tagen, an denen SLSH keinen substanziellen kriminellen ‚Erfolg‘ zu verkünden hatte, konzentrierten sie sich auf Todesdrohungen und Belästigung, um Strafverfolgung, Journalisten und Fachleute der Cybersicherheitsbranche auf die Gruppe fokussiert zu halten", so Nixon.
Nixon selbst wird seit Monaten in den Telegram-Kanälen der Gruppe mit Gewalt bedroht, ebenso wie Brian Krebs und weitere Sicherheitsforscher. Unit 221B nennt diese Erwähnungen als Kompromittierungsindikatoren: Opfer sollten auf wiederholte abfällige Erwähnungen von Allison Nixon (oder „A.N"), Unit 221B oder Cybersicherheitsjournalisten – besonders Brian Krebs – achten sowie auf Drohungen mit Tötung, Terror oder Gewalt gegen Mitarbeiter, Ermittler und Journalisten.
Langwierige Verhandlungen mit SLSH gäben der Gruppe einen Anreiz, das Ausmaß des Schadens und Risikos zu steigern – bis hin zur körperlichen Sicherheit von Mitarbeitern und Angehörigen. „Die kompromittierten Daten werden nie wieder in ihren ursprünglichen Zustand zurückkehren, aber wir können Ihnen versichern, dass die Belästigung enden wird", sagte Nixon. Die Entscheidung über eine Zahlung solle daher getrennt von der Belästigung betrachtet werden; objektiv sei die Zahlungsverweigerung der beste Weg zum Schutz der eigenen Interessen.
