Cinco prisões e três fóruns fechados: Por que o ShinyHunters ainda rouba corporações
Apesar de desmantelamentos e prisões, o grupo cibercriminoso ShinyHunters continua ativo em 2026, adaptando suas táticas para explorar mecanismos de confiança em serviços SaaS e integrações corporativas, em vez de depender apenas de phishing e exploits tradicionais.
MundiX News·22 de junho de 2026·5 min de leitura·👁 3 views
A força do grupo ShinyHunters reside menos em seus membros individuais e mais em sua marca resiliente, que sobrevive a repetidos golpes. Grupos cibercriminosos estão cada vez mais focando em atacar os mecanismos de confiança inerentes aos serviços corporativos, em vez de focar apenas no perímetro de segurança. O ShinyHunters exemplifica claramente por que a autenticação multifator (MFA) por si só já não é suficiente para proteger as organizações.
De acordo com dados da Cato CTRL, o grupo permaneceu ativo em 2026, mesmo após três apreensões de fóruns, cinco prisões de administradores em três operações distintas e a condenação de seu fundador, Sébastien Raoult. A principal mudança observada não está em uma nova ferramenta maliciosa, mas sim em uma evolução tática. O ShinyHunters tem diminuído o uso de phishing agressivo e cadeias de vulnerabilidades (exploits), passando a atacar diretamente os mecanismos de acesso confiáveis em serviços SaaS corporativos, como Salesforce, Salesloft Drift e Gainsight, e suas integrações de terceiros. Organizações que utilizam essas plataformas estão particularmente em risco.
Durante a campanha UNC6040, observou-se um atacante ligando para o suporte técnico, fingindo ser um funcionário do departamento de TI, e instruindo um colaborador a realizar uma suposta verificação de conexão. O resultado foi a aprovação de um aplicativo conectado malicioso no Salesforce. Com essa aprovação, o atacante obtinha um token OAuth com as permissões do usuário. Essa tática eliminou a necessidade de senhas, malware ou contornar a MFA de forma tradicional. Um cluster associado ao ShinyHunters, o UNC6395, foi ainda mais longe, removendo a engenharia social da equação. Em vez de enganar funcionários, eles utilizaram tokens OAuth roubados de integrações confiáveis, como Salesloft Drift. Esse tipo de acesso não gerava os sinais de infecção usuais em dispositivos de trabalho, pois os atacantes operavam através de serviços que a empresa já confiava.
A resiliência do ShinyHunters não se deve apenas à sua técnica. O grupo ganhou notoriedade em 2020 pela venda de grandes volumes de dados roubados. Posteriormente, sobreviveu ao fechamento do RaidForums, a duas apreensões do BreachForums e às prisões de administradores proeminentes na França em 2025. Após os ataques à sua infraestrutura, a marca ressurgia em questão de dias ou semanas. Em 2025, o grupo se fortaleceu através da fusão com o Scattered LAPSUS$, combinando o reconhecimento do ShinyHunters, as táticas de engenharia social do Scattered Spider e os métodos agressivos do LAPSUS$.
As recomendações para os defensores de segurança incluem uma revisão fundamental do modelo de segurança. As empresas são aconselhadas a implementar MFA resistente a phishing para funções privilegiadas em SaaS, auditar e restringir aplicativos OAuth em plataformas como Salesforce, Google Workspace e Microsoft 365, monitorar novas permissões de terceiros em tempo real, treinar equipes de suporte para identificar engenharia social por voz, limitar o acesso a APIs sensíveis por endereços IP e monitorar exportações massivas de dados.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A força do grupo ShinyHunters reside menos em seus membros individuais e mais em sua marca resiliente, que sobrevive a repetidos golpes. Grupos cibercriminosos estão cada vez mais focando em atacar os mecanismos de confiança inerentes aos serviços corporativos, em vez de focar apenas no perímetro de segurança. O ShinyHunters exemplifica claramente por que a autenticação multifator (MFA) por si só já não é suficiente para proteger as organizações.
De acordo com dados da Cato CTRL, o grupo permaneceu ativo em 2026, mesmo após três apreensões de fóruns, cinco prisões de administradores em três operações distintas e a condenação de seu fundador, Sébastien Raoult. A principal mudança observada não está em uma nova ferramenta maliciosa, mas sim em uma evolução tática. O ShinyHunters tem diminuído o uso de phishing agressivo e cadeias de vulnerabilidades (exploits), passando a atacar diretamente os mecanismos de acesso confiáveis em serviços SaaS corporativos, como Salesforce, Salesloft Drift e Gainsight, e suas integrações de terceiros. Organizações que utilizam essas plataformas estão particularmente em risco.
Durante a campanha UNC6040, observou-se um atacante ligando para o suporte técnico, fingindo ser um funcionário do departamento de TI, e instruindo um colaborador a realizar uma suposta verificação de conexão. O resultado foi a aprovação de um aplicativo conectado malicioso no Salesforce. Com essa aprovação, o atacante obtinha um token OAuth com as permissões do usuário. Essa tática eliminou a necessidade de senhas, malware ou contornar a MFA de forma tradicional. Um cluster associado ao ShinyHunters, o UNC6395, foi ainda mais longe, removendo a engenharia social da equação. Em vez de enganar funcionários, eles utilizaram tokens OAuth roubados de integrações confiáveis, como Salesloft Drift. Esse tipo de acesso não gerava os sinais de infecção usuais em dispositivos de trabalho, pois os atacantes operavam através de serviços que a empresa já confiava.
A resiliência do ShinyHunters não se deve apenas à sua técnica. O grupo ganhou notoriedade em 2020 pela venda de grandes volumes de dados roubados. Posteriormente, sobreviveu ao fechamento do RaidForums, a duas apreensões do BreachForums e às prisões de administradores proeminentes na França em 2025. Após os ataques à sua infraestrutura, a marca ressurgia em questão de dias ou semanas. Em 2025, o grupo se fortaleceu através da fusão com o Scattered LAPSUS$, combinando o reconhecimento do ShinyHunters, as táticas de engenharia social do Scattered Spider e os métodos agressivos do LAPSUS$.
As recomendações para os defensores de segurança incluem uma revisão fundamental do modelo de segurança. As empresas são aconselhadas a implementar MFA resistente a phishing para funções privilegiadas em SaaS, auditar e restringir aplicativos OAuth em plataformas como Salesforce, Google Workspace e Microsoft 365, monitorar novas permissões de terceiros em tempo real, treinar equipes de suporte para identificar engenharia social por voz, limitar o acesso a APIs sensíveis por endereços IP e monitorar exportações massivas de dados.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
