Un destacado grupo de extorsión de datos llamándose Scattered Lapsus ShinyHunters (SLSH) tiene un playbook distinto cuando se propone extorsionar a las empresas víctimas: hostigamiento, amenazas y hasta atentados con bomba contra ejecutivos y sus familias. Mientras tanto, SLSH informa a periodistas e instituciones regulatorias sobre la extensión de la intrusión. Algunos víctimas se han informado como están pagando —quizás tanto para contener los datos robados como para detener las amenazas personales escalonadas. Pero un experto top en SLSH advierte que cualquier interacción más allá de una respuesta 'No estamos pagando' solo fomenta el hostigamiento adicional, ya que subraya la historia fracturada y poco confiable del grupo, lo que significa que el único movimiento ganador es no pagar.
Diferente a las tradicionales grupos de afiliados de ransomware rusos altamente regimentados, SLSH es un grupo de extorsión inestable y algo fluido en inglés que parece poco interesado en construir una reputación de comportamiento consistente donde las víctimas puedan tener alguna medida de confianza de que los criminales mantendrán su palabra si se pagan. Según Allison Nixon, directora de investigación en Unit 221B, Nixon ha estado monitoreando de cerca al grupo criminal y a sus miembros individuales mientras saltan entre varios canales de Telegram utilizados para extorsionar e hostigar a las víctimas. Ella dijo que SLSH difiere de los grupos tradicionales de extorsión de datos en otros aspectos importantes que argumentan en contra de confiar en ellos para hacer lo que dicen que harán —como destruir los datos robados.
A diferencia de muchos grupos rusos de ransomware tradicionales, estos emplean tácticas de presión alta para forzar el pago a cambio de una clave de descifrado y/o la promesa de eliminar los datos robados. Tales tácticas incluyen publicar un blog de shaming en el web oscuro con muestras de datos robados junto a un cronómetro de cuenta regresiva o notificar a periodistas y miembros del consejo directivo de la compañía. Pero Nixon dijo que las extorsiones de SLSH escalan rápidamente mucho más allá de eso —a amenazas de violencia física contra ejecutivos y sus familias, ataque DDoS al sitio web de la víctima e inundaciones repetidas de correo electrónico.
SLSH es conocido por infiltrarse en empresas mediante engaño telefónico a empleados y usando el acceso robado para robar datos internos sensibles. En un post del blog de seguridad forense de Google Mandiant de 30 de enero, se dijo que las últimas extorsiones de SLSH provienen de incidentes que se extendieron desde principios hasta mediados de enero de 2026, cuando los miembros de SLSH fingían ser personal de TI y llamaban a empleados en organizaciones objetivo pretendiendo que la empresa actualizaba las configuraciones de MFA. El actor de amenaza les dirigió a sitios de captura de credenciales personalizados para robar sus credenciales SSO y códigos MFA, registrando su propio dispositivo para MFA.
Las víctimas a menudo se enteran por primera vez del incumplimiento cuando se menciona su nombre de marca en algún grupo de chat Telegram temporal que SLSH está usando para extorsionar e hostigar a su presa. Según Nixon, el hostigamiento coordinado en los canales de Telegram de SLSH forma parte de una estrategia bien orquestada para desbordar la organización de la víctima mediante humillación fabricada que las lleva al límite de pagar.