Tre stängda forum, fem gripna administratörer och en fälld grundare till trots – hackargruppen ShinyHunters har fortsatt sina aktiviteter.
En ny analys från säkerhetsbolaget Cato Networks forskningsenhet, Cato CTRL, belyser hur gruppen har utvecklats till ett decentraliserat varumärke som fortsätter utveckla effektiva metoder för att kringgå traditionella säkerhetsåtgärder.
Historien om ShinyHunters visar på en sällsynt organisatorisk uthållighet. Sedan starten 2020 har gruppen kopplats till flera uppmärksammade dataintrång och säkerhetsincidenter. Trots upprepade polisinsatser från bland annat FBI och franska myndigheter, där servrar beslagtagits, nyckelpersoner gripits och centrala forum stängts ner har verksamheten fortsatt med till synes oförminskad styrka.
Förklaringen ligger i hur arbetet organiserats. ShinyHunters har gått från en tämligen traditionell struktur till att arbeta efter en decentraliserad modell. Under 2025 gick man tillsammans med likasinnade grupperna Scattered Spider och LAPSUS$ för att bilda alliansen SLH (Scattered LAPSUS$ Hunters). Samtliga grupper har gått in i alliansen med sina egna specialområden och genom att man inte har någon central ledning att rikta insatser mot har det visat sig svårt att komma åt dem genom traditionellt polisarbete.
– Det mest användbara sättet att se på ShinyHunters 2026 är inte som en hackargrupp, utan som ett långvarigt varumärkesexperiment som bevisat en hypotes: ett decentraliserat, personadrivet cyberkriminellt kollektiv kan överleva gripanden av enskilda medlemmar, beslag av marknadsplatser och internationell samordning – förutsatt att varumärket är mer värdefullt än någon enskild operatör, säger Vitaly Simonovich, senior säkerhetsforskare på Cato Networks.
Rapportens mest kritiska slutsats är att hackargruppen tagit fram nya processer och attackmetoder som kan göra traditionell tvåfaktorsautentisering (MFA) via SMS eller push-notiser betydligt mindre effektiva. Och de behöver inte ens hacka något system i traditionell mening, det räcker med att utnyttja svagheter i hur så kallade OAuth-tokens hanteras.
När en angripare väl kommit över en betrodd token ärver de även användarens behörigheter. Processen sker helt utan skadlig kod, vilket gör att traditionella antivirusprogram saknar möjlighet att upptäcka incidenterna.
Attackerna riktar in sig mot molnbaserade SaaS-tjänster som Salesforce, Snowflake och olika tredjepartsintegrationer. I en av de kartlagda kampanjerna användes röstfiske (vishing) mot företagets helpdesk som en väg in. Genom att utge sig för att vara intern IT-support lurade gruppen till sig behörigheter kopplade till företagets Salesforce-implementering.
– En stulen OAuth-token från en betrodd molnintegration är det renaste möjliga fotfästet en angripare kan få. Det finns ingen skadlig kod att upptäcka, ingen autentiseringsutmaning som misslyckas och heller ingen perimeter att passera, säger Simonovich.
Han menar att säkerhetsarbetet därför måste skifta fokus. Företag bör gå över till hårdvarubaserad MFA (FIDO2), införa realtidsbevakning av nya OAuth-anslutningar samt utbilda sin helpdesk i att upptäcka och hantera nya typer av bedrägligt beteende.
– Vi måste sluta behandla vishing-bedrägerier mot helpdespen som en kuriositet, som något vi plockar fram för krisövningar, och börja se det som ett högst verkligt hot som utnyttjas av angripare, avslutar Simonovich.
Läs hela analysen på Cato Networks webbplats.
