Adolescente de 15 anos se declara líder do Scattered Lapsus$ Hunters, mas grupo refuta ligação

Apresentação do conflito

Um adolescente de 15 anos residente em Amã, na Jordânia, afirmou ser uma das figuras centrais do Scattered Lapsus$ Hunters (SLSH), coletivo apontado por especialistas como um dos grupos cibercriminosos mais ativos no cenário internacional. A reivindicação emergiu após entrevistas concedidas pelo jovem, identificado como Saif Al-Din Khader, enquanto, em paralelo, o SLSH utilizava seu canal no Telegram para negar qualquer associação com ele e ironizar o jornalista responsável pela apuração.

Quem é o adolescente identificado

Saif Al-Din Khader completa 16 anos no próximo mês e ficou conhecido on-line por múltiplos pseudônimos. Entre eles, destacam-se “Rey”, utilizado como administrador de comunidades ligadas a ataques virtuais recentes; “Hikki-Chan”, empregado em publicações de vazamentos; “@wristmug” (variação “@wirstmug”) no Telegram; e “o5tdev”, visto em fóruns anglófonos voltados a crimes digitais. Investigações conduzidas por profissionais de cibersegurança, incluindo a empresa Intel 471, apontaram que todos esses perfis pertenciam à mesma pessoa.

O gatilho: anúncio do ransomware ShinySp1d3r

A sequência que levou à revelação começou quando o canal do SLSH divulgou o serviço de ransomware “ShinySp1d3r”. A publicação foi feita por um dos três administradores do grupo no Telegram, justamente o usuário “Rey”. Esse codinome já era associado ao Hellcat, coletivo que, em 2024, divulgou dados furtados de corporações como Telefónica, Schneider Electric e Orange Romania. O reaparecimento do nickname em um novo projeto levantou a atenção de analistas, estimulando comparações entre os dois conjuntos de atividades.

Participação em fóruns e outras frentes de cibercrime

Além do envolvimento com o Hellcat, Saif assumiu em 2024 uma função administrativa em uma instância ressurgente do BreachForums, ambiente de troca de dados ilícitos que já havia sido derrubado repetidas vezes pelo FBI. Relatórios policiais de 2025 relacionaram os operadores do Shiny Lapsus$ Hunters a esse fórum, indicando que credenciais obtidas ali serviam de base para tentativas de extorsão.

Levantamento da Intel 471 indica que, entre fevereiro de 2024 e julho de 2025, o adolescente participou em mais de 200 publicações nesses espaços, provendo material ou comentando ações de invasão. O primeiro registro identificado sob o apelido “Hikki-Chan” trazia supostos dados do Centro de Controle e Prevenção de Doenças dos Estados Unidos, além da divulgação de seu contato no Telegram.

Falhas operacionais expõem dados pessoais

A descoberta da identidade real não ocorreu por iniciativa do próprio jovem, mas por negligência na proteção de suas informações. Em maio de 2024, o usuário “@wristmug” divulgou, em tom de piada, a captura de tela de um e-mail de chantagem em que invasores alegavam ter acesso à sua webcam. Ao publicar a imagem, o adolescente esqueceu de ocultar endereço de e-mail e senha presentes no print.

Com essa credencial em mãos, especialistas consultaram o serviço SpyCloud e localizaram um único e-mail vinculado à mesma senha. Esse e-mail aparecia em relatórios de infostealers que haviam infectado dispositivos do próprio adolescente, coletando nomes de usuário, senhas e cookies de autenticação em duas ocasiões em 2024. Esse material continha dados de preenchimento automático, utilizados para rastrear dispositivos Windows conectados a um endereço específico em Amã.

Conexões familiares e indícios geográficos

Os registros obtidos por meio do malware correlacionaram vários perfis de usuário que compartilhavam o sobrenome Khader. Entre os dados estava o nome de Zaid Khader, 46 anos, cujos acessos indicavam visitas a portais internos da Royal Jordanian Airlines, sugerindo vínculo profissional com a companhia aérea. Em formulários salvos nos navegadores, o sobrenome materno “Ginty” aparecia, compatível com a alegação de ascendência irlandesa que Saif costumava manifestar em grupos como o “Jacuzzi” no Telegram. A combinação desses elementos corroborou a conclusão de que “Rey” era, de fato, Saif Al-Din Khader.

Histórico de hacktivismo

Antes de ganhar notoriedade em coletivos de ransomware, o adolescente já aparecia em iniciativas de motivação política. O alias “o5tdev” integrava a Cyb3r Drag0nz Team, grupo hacktivista que defendia a causa “Palestina Livre” e foi associado, em 2023, ao vazamento de dados de mais de um milhão de cidadãos israelenses. O mesmo nome de usuário participava de canais do Telegram com conteúdo anti-Israel em língua árabe.

Contato com o jornalista e menção à Operação Endgame

Após a identificação pública feita por Brian Krebs, autor do blog especializado KrebsOnSecurity, o pai de Saif recebeu um e-mail alertando sobre o possível envolvimento do filho em “conspiração cibercriminosa”. O pai, julgando tratar-se de spam, repassou a mensagem ao próprio Saif, que então entrou em contato direto com o jornalista. No diálogo, o adolescente declarou intenção de abandonar o SLSH e relatou conversas mantidas desde junho com autoridades responsáveis pela Operação Endgame, iniciativa internacional contra cibercrime. Ele acrescentou não ter realizado invasões ou extorsões a partir de setembro de 2025.

Em sua versão, o jovem reconheceu ter contribuído para a divulgação do código-fonte do ransomware Hellcat e afirmou que a equipe do SLSH empregava ferramentas de inteligência artificial para refinar ataques. Ao mesmo tempo, indicou sentir-se impedido de sair imediatamente do grupo em virtude de seu papel na promoção do novo serviço de ransomware-as-a-service.

Manifesto do Scattered Lapsus$ Hunters

A repercussão da entrevista motivou resposta do próprio SLSH no Telegram. Em comunicado extenso, o coletivo classificou o texto do jornalista como “tentativa de autopromoção”, alegou que o material se baseava em relatório anterior da empresa KELA e negou que “Rey” fosse elemento central da operação. Entre sete pontos elencados, o grupo sustentou que:

• a pessoa mencionada seria apenas “indiretamente relacionada” ao SLSH;
• perguntas teriam sido feitas sem aviso de que se tratava de entrevista;
• o código Hellcat e o ransomware ShinySp1d3r seriam distintos;
• a narrativa distorceria a ordem de contatos realizados;
• haveria confusão deliberada entre múltiplas identidades on-line;
• outras lideranças do SLSH não foram mencionadas;
• atribuições de técnicas de invasão fariam saltos “ilógicos” entre alvos diferentes.

O texto termina oferecendo recompensa em bitcoin para quem comprovar a identidade verdadeira do autor do canal, reforçando o tom de desafio adotado ao longo da nota.

Linha do tempo de atividades conhecidas

2023 – Cyb3r Drag0nz Team é relacionado a vazamento de dados de israelenses, com participação do alias “o5tdev”.

Fevereiro/2024 – Início de mais de 200 postagens do adolescente em versões do BreachForums.

Maio/2024 – Publicação de print com e-mail e senha expostos pelo usuário “@wristmug”.

2024 – Hellcat divulga dados de grandes empresas europeias; “Rey” atua no site do grupo.

Julho/2025 – Último registro de postagem de Saif em BreachForums, segundo Intel 471.

2025 – Polícia liga Shiny Lapsus$ Hunters a informações obtidas em BreachForums.

Setembro/2025 – Adolescentes declara ter cessado atividades de invasão e extorsão.

Novembro/2025 – Identificação pública por Brian Krebs e consequente resposta do SLSH.

Situação atual e perspectivas

Até o momento, não há registro de ação policial direta contra Saif Al-Din Khader, nem confirmação oficial de cooperação formal com a Operação Endgame. O Scattered Lapsus$ Hunters mantém funcionamento ativo em seu canal do Telegram, enquanto especialistas acompanham possíveis desdobramentos da disputa de versões. A verificação de provas técnicas apresentadas por ambas as partes deverá orientar eventuais medidas legais ou de segurança cibernética nos próximos meses.