Der Fall gegen Thalha Jubair und Owen Flowers verbindet einen konkreten Angriff auf die Londoner Verkehrsinfrastruktur mit einem deutlich größeren Ermittlungsbild rund um Scattered Spider. Die Gruppe wird seit längerem mit einer Reihe aufsehenerregender Einbrüche, Erpressungsfällen und Phishing-Kampagnen in Verbindung gebracht. Nun bekannten sich zwei ihrer mutmaßlichen Schlüsselfiguren im Vereinigten Königreich schuldig.
Wie aus dem Verfahren hervorgeht, betrifft das Geständnis den Cyberangriff auf Transport for London im August 2024. Die Behörde verantwortet das öffentliche Verkehrsnetz im Großraum London. Nach Angaben der Anklage bekannten sich beide Angeklagte dazu, unbefugte Handlungen gegen die Computersysteme der Organisation verabredet zu haben; außerdem räumten sie ein, dadurch das Risiko erheblicher Schäden für das menschliche Wohl verursacht zu haben.
Laut BBC legte Owen Flowers zusätzlich ein Geständnis zu einer weiteren Verschwörung ab. Demnach war er an einem Angriff auf die in den USA ansässigen Gesundheitsdienstleister SSM Health Care Corporation und Sutter Health im September 2024 beteiligt. Über die beiden britischen Angeklagten hinaus verweisen die Vorwürfe auf ein weit verzweigtes internationales Umfeld.
Jubair wird auch von US-Strafverfolgungsbehörden gesucht. Staatsanwälte in New Jersey veröffentlichten im September 2025 eine Anklage, nach der Jubair und weitere Scattered-Spider-Mitglieder zwischen Mai 2022 und September 2025 an 120 Eindringversuchen in Computernetzwerke von 47 US-Organisationen beteiligt gewesen sein sollen. Die Vorwürfe umfassen Computerbetrug, Überweisungsbetrug und Geldwäsche. Nach Darstellung der Anklage zahlten die Opfer der Gruppe mindestens 115 Millionen US-Dollar an Lösegeld.
KrebsOnSecurity hatte im Juli 2025 berichtet, dass Flowers und Jubair im Vereinigten Königreich im Zusammenhang mit Erpressungsangriffen von Scattered Spider auf die Einzelhändler Marks & Spencer und Harrods sowie auf den britischen Lebensmittelhändler Co-op Group festgenommen worden seien. Mehrere mit den Ermittlungen vertraute Quellen sagten dem Bericht zufolge zudem, Flowers sei jenes Mitglied von Scattered Spider gewesen, das anonym Medieninterviews gab, nachdem die Ransomware-Angriffe der Gruppe im September 2023 den Betrieb der von MGM Resorts und Caesars Entertainment betriebenen Kasinos in Las Vegas gestört hatten.
Nach Angaben der Staatsanwaltschaft betrieb Jubair außerdem gemeinsam mit anderen einen stark frequentierten Telegram-Kanal namens Star Chat. Dort war eine SIM-Swapping-Gruppe organisiert, die sprach- und SMS-basierte Phishing-Angriffe nutzte, um Zugangsdaten von Beschäftigten großer Mobilfunkanbieter in den USA und im Vereinigten Königreich zu stehlen. Mit diesem Zugang bot die Gruppe anschließend einen Dienst an, der die Rufnummer eines Zieles auf ein von den Angreifern kontrolliertes Gerät umleiten und Anrufe sowie SMS der Opfer abfangen konnte, einschließlich Einmalcodes für die Mehrfaktor-Authentifizierung.
Die Staatsanwälte in New Jersey werfen Jubair zudem vor, im Sommer 2022 an einer massenhaften SMS-Phishing-Kampagne beteiligt gewesen zu sein. Dabei seien Single-Sign-on-Zugangsdaten von Beschäftigten bei Hunderten Unternehmen gestohlen worden. Diese über Wochen laufende Kampagne habe zu Einbrüchen und Datendiebstählen bei mehr als 130 Organisationen geführt, darunter LastPass, DoorDash, Mailchimp, Plex und Signal.
KrebsOnSecurity berichtete im vergangenen Jahr außerdem, eines von Jubairs Alter Egos im Alter von 15 Jahren sei „Everlynn“ gewesen. Unter diesem Namen habe er betrügerische „Notfall-Datenanfragen“ verkauft, die kompromittierte E-Mail-Adressen von Polizei- und Regierungsstellen nutzten, um bei großen Tech-Unternehmen Teilnehmerdaten wie Benutzernamen sowie IP- oder E-Mail-Adressen anzufordern.
Auch andere mutmaßliche Scattered-Spider-Mitglieder sind bereits verurteilt oder angeklagt. Im April 2026 bekannte sich der 24-jährige britische Staatsangehörige Tyler „Tylerb“ Buchanan laut US-Behörden des Überweisungsbetrugs in Verschwörung und des schweren Identitätsdiebstahls schuldig, weil er an der SMS-Phishing-Welle im Sommer 2022 beteiligt gewesen sei. Die Regierung erklärte, Buchanan, Jubair und weitere Beteiligte hätten die dabei erbeuteten Zugangsdaten genutzt, um Opfern in den USA Kryptowährungen im Wert von mindestens 8 Millionen US-Dollar zu stehlen. Buchanans Strafmaß soll derzeit am 2. Oktober verkündet werden.
Im August 2025 wurde zudem der 20-jährige Noah Michael Urban aus Florida, ebenfalls ein Scattered-Spider-Mitglied, zu zehn Jahren Bundesgefängnis und zu 13 Millionen US-Dollar Schadenersatz verurteilt, nachdem er sich wegen Überweisungsbetrugs und Verschwörung schuldig bekannt hatte. Das US-Justizministerium erklärt außerdem, dass drei gemeinsam mit Buchanan angeklagte mutmaßliche Mitglieder weiter mit Anklagen konfrontiert sind: Ahmed Hossam Eldin Elbadawy, 24, auch bekannt als „AD“, aus College Station in Texas, Evans Onyeaka Osiebo, 21, aus Dallas in Texas, und Joel Martin Evans, 26, auch bekannt als „joeleoli“, aus Jacksonville in North Carolina.
Flowers und Jubair sollen am 15. Juli 2026 vor einem Londoner Gericht verurteilt werden.