Nach Angaben der US-Behörden lautet die Anklage gegen Peter Stokes auf Verschwörung, Computereinbruch und Betrug. Gerichtsunterlagen zufolge war der nun 19-Jährige an mindestens vier Intrusionen beteiligt. In dem Fall bei einem Luxus-Schmuckhändler sollen die Angreifer Unternehmensdaten kopiert und anschließend etwa 8 Millionen US-Dollar in Kryptowährung verlangt haben.
Der Händler zahlte demnach nicht, warf die Eindringlinge aus dem Netzwerk und gab mindestens 2 Millionen US-Dollar für die Bereinigung aus. Als finnische Beamte Stokes am Flughafen Helsinki stoppten, als er einen Flug nach Japan antreten wollte, beschlagnahmten sie laut den Akten zudem zwei Festplatten mit jeweils 2 Terabyte Speicherplatz.
Scattered Spider gilt nicht als klassische Bande, sondern als lockerer, überwiegend englischsprachiger Zusammenschluss junger Menschen, viele davon Teenager, verteilt über die USA, Großbritannien und Europa. Sicherheitsfirmen führen die Gruppe auch unter den Bezeichnungen Octo Tempest, UNC3944 und 0ktapus. Ihr zentrales Vorgehen ist laut dem Quelltext nicht das Ausnutzen von Softwarefehlern, sondern die Täuschung von Menschen.
Demnach rufen Mitglieder beim IT-Helpdesk eines Unternehmens an, geben sich als ausgesperrte Beschäftigte aus und bewegen Mitarbeitende dazu, ein Passwort zurückzusetzen oder eine Anmeldung zu genehmigen. Haben sie Zugang, stehlen sie Dateien und drohen mit deren Veröffentlichung, falls nicht gezahlt wird. Bekannt wurde die Gruppe vor allem durch die Angriffe auf MGM Resorts und Caesars Entertainment im Jahr 2023, bei denen die Kasino- und Hotelsysteme von MGM ausfielen.
Bis 2025 wurde Scattered Spider zudem mit Angriffen auf britische Einzelhändler wie Marks & Spencer, Harrods und Co-op in Verbindung gebracht, später auch mit US-Versicherern und Fluggesellschaften. Sicherheitsforscher beschrieben dieses Muster als ein Vorgehen, bei dem sich die Angreifer jeweils auf einen Sektor nach dem anderen konzentrieren. Der stellvertretende Justizminister A. Tysen Duva sagte, die Gruppe sei an „mehr als 100 Netzwerkeinbrüchen beteiligt gewesen, die zu Lösegeldzahlungen von mehr als 100 Millionen US-Dollar geführt haben“.
Der Fall Stokes steht laut Quelltext für einen breiteren Wandel: Ermittler versehen ein lange nur unter Chat-Namen bekanntes Umfeld zunehmend mit realen Namen, Ländern und Gerichtsterminen. Gleichzeitig lebt das Vorgehensmodell weiter. Mandiant berichtete nach den Festnahmen des Jahres 2025 von einer Flaute bei Angriffen, die der Gruppe zugeschrieben wurden, warnte jedoch, dass andere Gruppen die Methode bereits kopieren.
Eine gemeinsame Warnung aus den USA und von internationalen Partnern ergänzt, dass sich Eindringlinge nach dem ersten Zugang oft in den Chat-Werkzeugen eines Unternehmens verbergen und sogar an Besprechungen teilnehmen, die zur Reaktion auf den Vorfall einberufen werden. Für die Ermittler könnten daher die in Helsinki sichergestellten Datenträger ebenso wichtig werden wie die Anklage selbst, weil Geräte eines Mitglieds häufig zu weiteren Beteiligten führen. Laut Quelltext gilt Stokes bis zu einem Prozess als unschuldig.
