Nach Angaben von Dataminr verfolgt SLH mit der Anwerbung weiblicher Stimmen eine kalkulierte Weiterentwicklung seiner Taktik. Das Unternehmen geht davon aus, dass die Gruppe damit die “klassischen” Täterprofile umgehen will, auf die Helpdesk-Personal geschult sein könnte, und so die Wirksamkeit ihrer Identitätstäuschungen steigert.

SLH gilt als Verbund mehrerer bekannter Gruppierungen – LAPSUS$, Scattered Spider und ShinyHunters. Hat die Gruppe einmal Erstzugriff erlangt, bewegt sich Scattered Spider laut den Berichten seitlich in virtualisierte Umgebungen, weitet Rechte aus und schleust sensible Unternehmensdaten aus. In einigen Fällen folgte darauf der Einsatz von Ransomware. Um unauffällig zu bleiben, nutzen die Akteure legitime Dienste und Residential-Proxy-Netze wie Luminati und OxyLabs, Tunneling-Werkzeuge wie Ngrok, Teleport und Pinggy sowie kostenlose Filesharing-Dienste wie file.io, gofile.io, mega.nz und transfer.sh.

Palo Alto Networks Unit 42, die Scattered Spider unter dem Namen Muddled Libra führt, beschrieb den Akteur in einem kürzlich veröffentlichten Bericht als äußerst geschickt darin, menschliche Psychologie auszunutzen, indem er sich als Mitarbeiter ausgibt, um Passwort- und MFA-Zurücksetzungen zu erreichen. In einem von Unit 42 im September 2025 untersuchten Fall richtete Scattered Spider nach dem Erbeuten privilegierter Zugangsdaten über einen Anruf beim IT-Helpdesk eine virtuelle Maschine ein. Diese diente der Erkundung, etwa der Active-Directory-Enumeration, sowie dem Versuch, Outlook-Postfachdateien und Daten aus der Snowflake-Datenbank des Ziels abzuziehen. Laut Unit 42 nutzt der Akteur legitime Werkzeuge und vorhandene Infrastruktur, agiert leise und hält sich dauerhaft im Netz. Bekannt sei zudem eine umfangreiche Historie von Angriffen auf Microsoft-Azure-Umgebungen über die Graph API sowie der Einsatz von Erkundungswerkzeugen wie ADRecon.

In einer am 26. Februar 2026 veröffentlichten Folgeanalyse berichtet ReliaQuest, dass die Erpressergruppe ShinyHunters vermutlich auf die Imitation gebrandeter Subdomains umgestiegen ist, kombiniert mit telefonisch gesteuertem Adversary-in-the-Middle-Phishing (AiTM) und auf Mobilgeräte zugeschnittenen Ködern. Dabei registrieren die Täter Domains nach dem Muster “<organisation>.sso-verify[.]com”. ReliaQuest zufolge sollen bereits offengelegte SaaS-Datensätze wiederverwendet werden, um überzeugende Vorwände aufzubauen und die jeweils nächste geeignete Zielperson zu bestimmen. So entsteht eine schnelle Kette von der Identitäts- zur SaaS-Kompromittierung, bei der eine einzige gültige SSO-Sitzung oder ein Helpdesk-Reset breiten Zugriff auf sensible Daten ermöglicht, ohne dass eigene Malware eingesetzt werden muss.

ReliaQuest ordnet die Aktivität ShinyHunters zu – gestützt vor allem auf die Opferauswahl, die mit auf der Leak-Seite der Gruppe genannten Organisationen übereinstimmt. ShinyHunters skaliere seine vishing-getriebenen Einbrüche, indem es skriptgestützte Callcenter-Aufgaben und sogar Belästigungsdienste an bezahlte Auftragnehmer auslagere; die Gruppe bezeichne dieses Modell als “SLH Operations Centre”. Auf Nachfrage von The Hacker News erklärte ReliaQuest, es gebe im eigenen Sichtfeld keinen unabhängig überprüfbaren Beleg, die Subdomain-Imitation einem breiteren Kollektiv statt ShinyHunters zuzuschreiben, eine Überschneidung bleibe aber möglich. Laut beobachteten Telegram-Nachrichten “vereinen” sich die Gruppen nur für bestimmte Social-Engineering-Operationen.