Die Cybercrime-Gruppe SLH bietet Frauen zwischen 500 und 1.000 Dollar pro Anruf an, um Social-Engineering-Attacken gegen IT-Helpdesks durchzuführen. Damit verfolgt die Gruppe eine gezielte Taktik, um die Erfolgsquote ihrer Impersonations-Angriffe zu erhöhen.
Die berüchtigte Cybercrime-Kollektiv Scattered LAPSUS$ Hunters (SLH) – ein Zusammenschluss der Gruppen LAPSUS$, Scattered Spider und ShinyHunters – hat eine neue Rekrutierungsstrategie entwickelt: Sie zahlt gezielt Frauen für Vishing-Attacken gegen Unternehmens-Helpdesks. Wie das Threat-Intelligence-Unternehmen Dataminr berichtet, bietet die Gruppe zwischen 500 und 1.000 Dollar pro Anruf sowie vorgefertigte Skripte an, um die Angriffe professionell durchzuführen.
Das Kalkül dahinter ist simpel: Durch weibliche Anrufer hoffen die Kriminellen, das Profiling-Training von IT-Mitarbeitern zu umgehen, die typischerweise auf männliche Angreifer konditioniert sind. “SLH diversifiziert sein Social-Engineering-Arsenal bewusst, um die Erfolgsrate bei der Impersonation von Helpdesk-Mitarbeitern zu erhöhen”, erklärt Dataminr.
Die Angriffsweise dieser Gruppe ist ausgefeilter Natur: Sie manipuliert Mitarbeiter dazu, Passwörter zurückzusetzen oder Remote-Management-Tools zu installieren, um dann Zugriff auf interne Systeme zu erlangen. Ein besonderer Fokus liegt dabei auf der Umgehung von Multifaktor-Authentifizierung (MFA) durch Techniken wie MFA-Prompt-Bombing oder SIM-Swapping. Nach dem initialen Zugriff führen die Angreifer seitliche Bewegungen durch, eskalieren Privilegien und exfiltrieren schließlich sensible Unternehmensdaten – häufig gefolgt von Ransomware-Deployment.
Um ihre Spuren zu verwischen, nutzt SLH legitime Services und Proxy-Netzwerke wie Luminati und OxyLabs sowie Tunneling-Tools wie Ngrok, Teleport und Pinggy. Für die Datenübertragung greifen sie auf kostenlose File-Sharing-Dienste zurück.
Palo Alto Networks Unit 42, die Scattered Spider unter dem Codenamen “Muddled Libra” verfolgt, beschreibt die Gruppe als “hochgradig versiert darin, menschliche Psychologie auszunutzen”. In einem dokumentierten Fall von September 2025 gelang es den Angreifern, virtuelle Maschinen aufzusetzen, Active Directory zu enumerieren und Outlook-Mailboxen sowie Snowflake-Datenbanken anzugreifen – alles nach einem simplen Anruf beim Helpdesk.
Besonderes Augenmerk legt die Gruppe auf Microsoft Azure-Umgebungen, die sie über die Graph API angreifen. Zur Aufklärung nutzen sie Cloud-Enumeration-Tools wie ADRecon.
Experten raten Organisationen, ihre Helpdesk-Mitarbeiter zu schulen, auf vorgefertigte Skripte und polierte Sprachimitationen zu achten, strikte Identitätsverifizierungen durchzusetzen und SMS-basierte MFA durch robustere Methoden zu ersetzen.
In einer aktuellen Analyse vom 26. Februar 2026 berichtete ReliaQuest, dass die ShinyHunters-Gruppe ihre Taktik weiterentwickelt hat: Sie nutzt jetzt Subdomain-Impersonation in Kombination mit Live-Phishing und mobile-optimierte Köder, mit denen Angreifer den Nutzer anrufen und einen Helpdesk-Vorwand nutzen. Besonders heimtückisch: Sie registrieren Domains wie “
ReliaQuest beobachtete, dass ShinyHunters bewusst weg von neu registrierten Look-alike-Domains zu bereits etablierten Subdomains wechselt – ein Trick, um traditionelle “neue Domain”-Filter zu umgehen. Kombiniert mit mobil-optimierten Phishing-Lures und bezahlten Call-Center-Diensten ermöglicht dies schnelle und skalierbare Angriffsserien. Die Gruppe nennt dieses Modell selbst das “SLH Operations Centre”: ein auf Volumen und Geschwindigkeit ausgelegtes Vishing-Operationszentrum.
Während die Impersonationsmuster Ähnlichkeiten mit Scattered Spider aufweisen, wird diese spezifische Kampagne hauptsächlich ShinyHunters zugeordnet – basierend auf dem direkten Einsatz der Subdomains bei Organisation-gerichteten Vishing-Operationen und beobachteten Opferprofilen. ReliaQuest deutete allerdings an, dass die Gruppen nur für bestimmte Operationen zusammenarbeiten und es bisher keine klaren Hinweise auf ein permanentes Kollektiv gibt.
Quelle: The Hacker News