Scattered Lapsus$ Hunters zählt laut Flashpoint zu den Verursachern einiger der folgenschwersten und kostspieligsten Cyberangriffe in der jüngeren US-Wirtschaftsgeschichte. Die Gruppe hebt sich dadurch ab, dass sie gezielt jene Cloud- und SaaS-Plattformen angreift, auf die Organisationen in der westlichen Welt am stärksten angewiesen sind — etwa Okta, Salesforce und Microsoft 365. Über die unmittelbaren Folgen für die Opfer hinaus seien diese Taten als Kosten für die gesamte Gesellschaft zu verstehen, so Flashpoint.

Flashpoint beschreibt „The Com" als ein diffuses Geflecht aus Neonazis, Pädophilen, einzelnen hochrangigen Regierungsmitarbeitern sowie deren in die Falle gelockten oder verschleppten Opfern. Die Mitglieder leben mehrheitlich in Nordamerika und sind eher jung — eine Folge der Rekrutierungsstrategie: Angeworben wird vor allem in Gaming-Communitys und sozialen Medien, häufig über das gezielte Heranmachen an Kinder und über Sextortion. Manche Opfer werden so zu Mitgliedern.

Im Überblick lässt sich das Milieu in drei Bereiche gliedern. „IRL Com" ist für physische Übergriffe wie Raubüberfälle und Brandstiftung verantwortlich. In „Extortion Com" werden neue Mitglieder rekrutiert und Kinder durch Indoktrination und Sextortion dazu manipuliert, pornografisches oder verstörendes Material zu erzeugen oder gewalttätig zu handeln. „Hacker Com" ist der Arm, der bekannte Unternehmen kompromittiert und daneben weitere Cyberverbrechen begeht — darunter SIM-Swapping, DDoS-Angriffe und Ransomware.

Entscheidend ist laut Flashpoint, dass diese drei Bereiche nicht voneinander getrennt agieren. „Die Überschneidung ist erheblich, und die Art, wie Regierungen sie unterteilt haben, hat viel Verwirrung gestiftet und zu einer Unterverfolgung von Straftaten geführt", erklärt Allison Nixon, Geschäftsführerin von Unit 221B, die „The Com" seit 15 Jahren verfolgt. Jeder Hacker im Milieu weise eine weit überdurchschnittliche Wahrscheinlichkeit auf, Missbrauchsmaterial zu besitzen oder dessen Herstellung zu erzwingen; wer Sextortion betreibe, begehe überdurchschnittlich oft Betrug zum Gelderwerb.

Auch das Internet Crime Complaint Center des FBI hält fest, dass Mitglieder oft in mehr als einem Bereich kriminell aktiv sind und gleichzeitig Beziehungen zu Mitgliedern mehrerer Bereiche pflegen, falls deren Fähigkeiten von Nutzen sein könnten. Nixon nennt als Beispiel das assoziierte Netzwerk neonazistischer Sextortionisten „764": Einige seiner frühen Akteure hätten nach ihrer Haftentlassung begonnen, Unternehmen zu erpressen. Die Erlöse solcher Taten würden in das kriminelle Unternehmen zurückfließen und so Infrastruktur sowie physische Angriffe auf Rivalen finanzieren.

Die großen Hackerkampagnen des Milieus haben laut Darren Williams, Gründer und Geschäftsführer von BlackFog, zuletzt nachgelassen; Scattered Spider etwa sei seit seinem besonders kostspieligen Angriff auf Jaguar Land Rover verstummt. Von Untätigkeit könne aber keine Rede sein: Die Akteure arbeiteten für mehrere Gruppen zugleich und wechselten je nachdem, welche gerade am erfolgreichsten sei.

Nixon beobachtet im gesamten Milieu unverändert viel kriminelle Aktivität und stetig neue Taktiken. Als folgenreichsten Trend nennt sie die Fähigkeit, physische Ressourcen systematisch an bestimmten Orten zu platzieren — etwa ein Kind aus dem kriminellen Netzwerk zu finden, das willens und in der Lage sei, in ein Haus einzudringen oder sich mit einem bestimmten WLAN zu verbinden.