Promotores americanos vinculam hacker acusado do Scattered Spider a invasão em loja de joias de luxo usando um identificador persistente de dispositivo Windows, segundo uma queixa federal recém-divulgada.
Registros da Microsoft vincularam esse ID primeiro à conta que os invasores usaram para manter o acesso durante a invasão de maio de 2025, e depois a contas online que, segundo os promotores, pertencem a Peter Stokes, de 19 anos.
Stokes é acusado de conspiração, invasão computadorizada e fraude. Cidadão americano-estoniano conhecido online como "Bouquet", ele foi extraditado da Finlana e compareceu pela primeira vez a um tribunal em Chicago em 30 de junho, conforme relatório do THN. Ele é considerado inocente até prova em contrário.
Como Funcionou a Invasão
Entre 12 e 15 de maio de 2025, invasores ligaram para a central de TI da varejista usando números do Google Voice, fingiram ser funcionários bloqueados e conseguiram que a equipe redefinisse senhas de funcionários e dos dispositivos móveis vinculados à autenticação multifator.
Em poucas horas, eles控制了 três contas, duas pertencentes a administradores de TI. Instalaram o ngrok e uma segunda ferramenta de túnel chamada Teleport, transferiram dados para armazenamento em nuvem da Amazon e extraíram pelo menos 77 gigabytes.
Parece que tentaram implementar ransomware, mas a equipe de segurança da varejista o bloqueou e os expulsou da rede. Os invasores ainda enviaram um e-mail de resgate com o assunto "IMPORTANTE: ROUBAMOS OS DADOS, CONTATE IMEDIATAMENTE [sic]", e depois pediram US$ 8 milhões em criptomoeda. A empresa não pagou. A invasão ainda custou cerca de US$ 2 milhões em interrupção, investigação e limpeza.
O caminho de entrada foi a central de suporte, não uma falha de software. A solução é um processo, não um patch: verificar a identidade antes de qualquer redefinição com uma ligação de volta para um número já registrado, aprovação do gerente ou verificação por vídeo para contas privilegiadas. Autenticação multifator resistente a phishing, como chaves FIDO2, neutraliza outros métodos do grupo, mas não funciona se a central de suporte redefinir uma conta por telefone.
O ID que Levou os Investigadores até Stokes
Os investigadores rastrearam Stokes a partir do dispositivo que abriu a conta ngrok. A Microsoft informou ao FBI que ele carregava o Identificador Global de Dispositivo g:6755467234350028, que a Microsoft descreve como um identificador persistente vinculado a uma única instalação do Windows, que sobrevive a atualizações do sistema operacional, mas muda quando o Windows é reinstalado.
Os registros da Microsoft mostram que o dispositivo visitou a página de cadastro do ngrok às 19h21 UTC em 12 de maio de 2025, no mesmo minuto em que a conta ngrok foi criada, e acessou o site da varejista através do mesmo proxy cerca de três horas depois.
O dispositivo também continuou aparecendo nos mesmos endereços IP, nos mesmos horários, que contas do Snapchat, Apple e Facebook que os promotores atribuem a Stokes: um endereço em sua cidade natal, Tallinn, na Estônia, em junho de 2024, depois em Nova York em novembro e na Tailândia em fevereiro de 2025, correspondendo aos registros de viagem do Departamento de Estado.
A queixa mostra um operador que escondeu o ataque, por trás de um proxy VPN, ferramentas de túnel e aliases, mas não a si mesmo. Os promotores dizem que o Snapchat dele exibia dinheiro, relógios e correntes de diamante com a inscrição "HACK THE PLANET", junto com as próprias viagens que o colocaram nessas cidades. Ele chegou a postar fotos de uma delegacia de polícia estoniana e provocou que o FBI não fazia ideia do que havia deixado escapar.
Uma Prisão, e Por Que Pode Não Diminuir a Ameaça
Os investigadores agora podem vincular um único operador à máquina que configurou um ataque. Mas uma prisão mal arranha a ameaça mais ampla.
Em pesquisa separada e recente, o Group-IB argumenta que o Scattered Spider não é realmente um grupo. É uma coletânea solta de pequenas células independentes, a maioria não maior que cinco pessoas, unidas por truques, ferramentas e salas de bate-papo compartilhados, em vez de um chefe comum. O Group-IB compara ao movimento Anonymous e diz que prender algumas dessas células "não interromperá a ameaça em si".
Os promotores descrevem o Scattered Spider como um grupo por trás de mais de 100 invasões e mais de US$ 100 milhões em resgates. O Group-IB diz que o rótulo se encaixa melhor em uma cena do que em uma gangue, e argumenta que a estrutura solta é por que a atividade sobrevive a cada prisão.
Parte de Uma Série Mais Longa de Casos
Outras acusações recentes contra o Scattered Spider seguem o mesmo formato: indivíduos presos um a um, o playbook compartilhado intacto. Em abril de 2026, o escocês Tyler Buchanan se declarou culpado nos EUA por fraude e roubo de identidade vinculado ao grupo.
Em 2025, Noah Urban, conhecido como "Sosa", foi condenado a 10 anos por um esquema de troca de cartão SIM vinculado ao Scattered Spider. E no Reino Unido, dois supostos membros recentemente admitiram a invasão ao Transporte de Londres, que custou cerca de 29 milhões de libras.
Quando a polícia finlandesa prendeu Stokes no aeroporto de Helsinque enquanto ele tentava embarcar em um voo para o Japão, apreenderam dois discos rígidos de 2 terabytes. Todo esse caso foi construído a partir desse tipo de material: registros de dispositivos, conexões de contas e rastros de IP. Em uma rede tão difusa, os discos podem importar mais do que a condenação, se contiverem as ferramentas, infraestrutura ou contatos que levem ao próximo membro.