Um adolescente britânico de 16 anos, um Fire TV Stick de hotel e o código-fonte de Grand Theft Auto 6. Esse pode parecer o roteiro de um filme de hacker, mas foi o ponto de partida de uma história real que explica como nasceram — e se fundiram — alguns dos grupos de cibercrime mais perigosos da década: Lapsus$, Scattered Spider e ShinyHunters. A união deles, batizada de Scattered Lapsus$ Hunters, transformou pequenos golpes em ataques bilionários que já impactam empresas que você usa todos os dias, da Rockstar à Salesforce.
Quem é Arion Kurtaj — e por que ele importa para você?
Arion Kurtaj, conhecido nos fóruns underground como “SigmA”, foi preso aos 20 anos, mas o estrago feito antes disso colocou seu nome na história do hacking. Foi ele quem vazou 90 vídeos e trechos de código de GTA 6 em 2022, usando apenas um dongle de streaming e um celular emprestado em um quarto de hotel. A ousadia inspirou outros adolescentes do fórum The Com, um verdadeiro “clube do bolinha” do cibercrime, a copiar suas táticas.
Por que isso afeta você? Porque o mesmo método que derrubou a agenda de lançamentos da Rockstar foi usado para roubar 1 TB de dados da NVIDIA, incluindo o firmware das GPUs RTX 3090 Ti. Se você joga no PC ou pretende comprar uma placa de vídeo, o vazamento acelera a aparição de BIOS modificadas que prometem minerar criptomoedas sem limite — e podem até brickar a sua GPU.
Da Cyberteam ao Lapsus$: o legado brasileiro
A história começa no Brasil, em 2015, com o Cyberteam, notório por ataques de DDoS a sites governamentais. Em 2020, parte desse grupo se funde com o Recursion Team, craque em SIM swapping e falsos pedidos de emergência (EDR) a provedores. Surge o Lapsus$, que já estreia em 2021 invadindo o Ministério da Saúde e apagando 50 TB de dados do ConecteSUS.
2022: o tour de force contra gigantes de tecnologia
• NVIDIA (fev/22) – 1 TB de códigos-fontes de GPUs e 71 mil credenciais internas.
• Samsung (mar/22) – 190 GB, incluindo o sistema biométrico de celulares Galaxy.
• Microsoft (mar/22) – 37 GB com 90% do código do Bing e do Cortana.
• Okta, Ubisoft, Mercado Libre, T-Mobile e Globant completaram o caos de março.
A arma secreta? Engenharia social pura. Em vez de zero-days caros, os invasores ligavam para o help desk, fingiam ser funcionários exaustos e pediam um “reset” de MFA. Funcionou tantas vezes que a tática ganhou nome: fadiga de autenticação multifator.
Scattered Spider: quando o foco vira dinheiro — muito dinheiro
Nascido no mesmo fórum, o Scattered Spider (UNC3944) adotou o código de ética inverso: menos fama, mais lucro. Em 2023, o grupo paralisou a MGM Resorts por 10 dias, causando prejuízo de US$ 100 milhões, e extorquiu US$ 15 milhões da Caesars Entertainment.
A combinação de MFA bombing com parcerias de ransomware profissional levou o grupo a mirar ambientes críticos na nuvem, como Okta, Azure e, em 2024, instâncias Snowflake de 165 empresas (Ticketmaster, Santander, AT&T).
ShinyHunters entra no palco e nasce o “megazord”
Especialista em exfiltrar e vender dados, o ShinyHunters trouxe a engrenagem que faltava: monetização em marketplaces clandestinos. Em 2025, a tríade se oficializa como Scattered Lapsus$ Hunters, somando:
• Scattered Spider – acesso inicial via vishing e simulações de TI;
• Lapsus$ remanescentes – engenharia social agressiva;
• ShinyHunters – infraestrutura para vazar e leiloar dados.
O golpe na Salesforce: 1,5 bilhão de registros à venda
Entre outubro de 2024 e setembro de 2025, o supergrupo lançou uma ofensiva em duas frentes:
Imagem: Internet
1) UNC6040 – Vishing com IA
Ligação falsa de suporte, voz sintética impecável e autorização de Connected Apps maliciosos, que geram tokens OAuth eternos — adeus, MFA.
2) UNC6395 – Cadeia de suprimentos
Comprometendo o GitHub da Salesloft e a AWS do Drift, tokens roubados deram acesso indireto a mais de 700 empresas, entre elas Google, Cloudflare e Qantas.
O grupo exigiu 20 bitcoins (US$ 1,3 mi) da Salesforce para não liberar 39 bases corporativas. Enquanto você lê estas linhas, o relógio do resgate está correndo — e já existe um site de leilão onde pacotes de dados aparecem em contagem regressiva.
Por que empresas de hardware e gamers deveriam se preocupar
• Vazamento de firmware abre espaço para BIOS adulteradas que prometem “overclock fácil” e podem queimar sua placa-mãe.
• Certificados de assinatura da NVIDIA já foram usados para espalhar drivers maliciosos disfarçados de atualizações legítimas.
• Dados de suporte da Salesforce incluem chaves AWS e tokens de CI/CD; se você cria mods, jogos indie ou vende periféricos via e-commerce, seu backend pode ter sido exposto.
Como se proteger — checklist rápido
1. MFA sem SMS – Use chaves FIDO2 (YubiKey, Titan) ou apps com código offline.
2. Firmware oficial – Baixe BIOS e drivers só do site do fabricante, nunca de fóruns.
3. Monitor de vazamentos – Cadastre seu e-mail em serviços como Have I Been Pwned e configure alertas automáticos.
4. Zero trust no help desk – Se você é admin, crie protocolo para confirmar identidade fora da chamada (ex.: canal interno verificado).
O que vem depois do hiato?
O Scattered Lapsus$ Hunters anunciou uma “pausa por tempo indeterminado”, mas a prática mostra que nomes mudam, técnicas evoluem e as credenciais roubadas continuam valendo ouro. Especialistas já identificam células derivadas como o Crimson Collective atuando em fóruns da dark web. Em outras palavras: o jogo ainda está longe do endgame.
Para o usuário final — gamer, criador de conteúdo ou profissional de TI — a lição é clara: segurança deixou de ser antivírus e virou camadas de defesa. Atualize firmware, adote chaves de hardware e desconfie de qualquer “ligação do suporte” fora do fluxo oficial. Afinal, se um adolescente com um Fire Stick conseguiu balançar a indústria de games, imagine o que um supergrupo bem financiado pode fazer com 1,5 bilhão de registros em mãos.
Com informações de TecMundo
