Um adolescente de 15 anos da Jordânia se declarou como uma das figuras-chave ligadas ao Scattered Lapsus$ Hunters (SLSH), um dos principais grupos cibercriminosos ativos no mundo. Saif Al-Din Khader, que completa 16 anos no próximo mês, foi supostamente desmascarado por Brian Krebs, dono do blog KrebsOnSecurity.
A história começou com o lançamento do ShinySp1d3r, serviço de ransomware do SLSH. O grupo, que mantém um canal no Telegram, anunciou sua nova tecnologia no aplicativo de mensagens. Lá, um dos 3 administradores do grupo, que usa o nick “Rey”, foi responsável pelo anúncio da novidade.
Rey estava envolvido em mais grupos cibercriminosos
Acontece que Rey era um dos responsáveis pelo site do grupo de ransomware Hellcat, onde eles postavam os dados vazados em 2024. Esse grupo, que deu visibilidade a Rey, foi responsável por ataques a grandes empresas como Telefonica, Schneider Eletric e Orange Romania.
Ainda em 2024, Rey também assumiu como administrador de uma das últimas versões do BreachForums, um fórum cibercriminoso em inglês que já havia sido derrubado outras vezes pelo FBI. Em 2025, a polícia afirmou ter interceptado a operação do BreachForums novamente, e que já relacionava a operação do Shiny Lapsus$ Hunters ao site, e afirmava que eles usavam dados de lá para facilitar a extorção.
Ele não veio a público porque quis, mas porque foi descoberto
Apesar dos papéis de destaque de Rey, ele teria demonstrado desleixo com suas informações pessoais. Isso teria permitido que empresas e profissionais de cibersegurança conseguissem não apenas encontrar sua identidade e sua localização, mas também garantir sua autenticidade.
Segundo a Intel 471, empresa de ciberinteligência, Rey era mesmo um usuário ativo de vários BreachForums que surgiram nos últimos dois anos. Ele teria colaborado com mais de 200 posts entre fevereiro de 2024 e julho de 2025.
Vários usernames, mesma pessoa
Mas antes de ser Rey, ele era Hikki-Chan. E seu primeiro post foi com dados que ele, supostamente, havia vazado do Centro de Controle e Prevenção de Doenças dos Estados Unidos. Nesse post, ele também colocou seu usuário no Telegram, que era @wirstmug.
Em maio de 2024, sob o nome @wristmug, ele teria postado o print de um e-mail de extorsão que havia recebido. Acontece que ele caiu numa campanha comum, de que cibercriminosos teriam invadido seu computador, controlado sua webcam e gravado sua privacidade secretamente enquanto você assistia vídeos pornográficos.
A campanha que afetou @wristmug incluia seu endereço de e-mail e senha. Na pressa de publicar sua piada, ele esqueceu de censurar as informações. E isso foi suficiente para que sua identidade fosse revelada.
O processo não é tão simples, mas @wristmug, Hikki-Chan ou Rey – como queira chamá-lo — , já havia dado muitas informações sobre sua vida pessoal.
Com a senha do cibercriminoso, os especialistas procuraram em um sistema que mostra se sua senha foi vazada, o Spycloud, e conseguiram encontrar um único e-mail que correspondia àquela senha. Não surpreendentemente, era ligada ao servidor de e-mail que havia ficado exposto no print de @wristmug.
O sistema mostrou que as credenciais do hacker haviam sido vazadas pelo menos duas vezes em 2024, quando ele teve seus aparelhos infectados por um trojan infostealer que captou e guardou todos os seus nomes de usuários, senhas e cookies de autenticação.
Jovem fazia parte de grupos cibercriminosos ativistas
A Intel 471 afirmou que o e-mail do criminoso pertencia a um membro do BreachForums que usava o nome o5tdev. Esse mesmo nome de usuário fazia parte de um grupo chamado Cyb3r Drag0nz Team, uma equipe “hacktivista”, que basicamente tirava do ar sites que eles consideravam injustos e vazavam sites de grupos opostos.
Uma das bandeiras do Cyb3r Drag0nz Team era a “Palestina Livre”. Tanto que, em 2023, uma empresa de cibersegurança relacionou o grupo a vazamentos de dados de mais de um milhão de israelenses. O @o5tdev, inclusive, foi membro de um grupo no Telegram que postava mensagens anti-Israel em árabe.
Qual é a real identidade de Rey?
O Rey era bem ativo no Telegram, especialmente no Jacuzzi, um grupo no qual ele se sentia bem a vontade para compartilhar informações pessoais. Lá, por exemplo, ele disse ter 15 anos e que era descendente de irlandeses.
Com essas informações, mais as credenciais roubadas pelo infostealer, foi possível ligar Rey a um dispositivo Windows em Amã, capital da Jordânia. Os dados anteriores mostravam vários aparelhos e usuários relacionados à Rey, mas que compartilhavam o sobrenome Khader e um endereço específico na capital.
Os dados de preenchimento automático dos computadores ligados à Rey, estavam sob o nome de Zaid Khader, um homem de 46 anos, que dizia que o sobrenome de solteira de sua mãe era Ginty – um sobrenome comum de descendência irlandesa. Os dados também mostraram que Zhair acessava sites de funcionários da Royal Jordanian Airlines.
“Porque essas informações são relevantes?”, você pode se perguntar. Exatamente porque elas confirmam a identidade de Rey, que afirmava que era irlandês e que seu pai era piloto de avião.
Com o nome do pai, e todos os dados vazados, ficou claro que Rey é Saif Al-Din Khader. Kreb contatou o pai de Saif, dizendo que ele acreditava que seu filho tinha envolvimento com uma “séria conspiração cibercriminosa”. O pai de Rey, achou que o e-mail de Kreb fosse spam, e o enviou para Saif dar uma olhada. Ele mesmo acabou respondendo o jornalista.
Saif não quer mais fazer parte do cibercrime
Durante a conversa, ele afirmou estar prestes a completar 16 anos e que está tentando sair do Shiny Lapsus$ Hunters, mas como fez parte da divulgação e lançamento do novo ransomware-as-a-service do grupo, ele não se sente livre para sair tão cedo.
Bem à vontade, Rey afirmou que ele “basicamente divulgou o código-fonte do ransomware do Hellcat”, que o SLSH tem usado IA para aprimorar e aplicar seus próprios golpes.
Saif parece disposto a mudar de vida, e falou que, nessa missão de sair do SLSH, ele decidiu entrar em contato com a polícia, mais especificamente os responsáveis pela Operação Endgame, para cooperar com as informações privilegiadas.
“Já estou cooperando com as autoridades. Na verdade, tenho conversado com eles desde pelo menos junho. Contei a eles praticamente tudo. Não fiz nada como invadir uma empresa ou praticar extorsão desde setembro.”
A entrevista do cibercriminoso repercutiu e muito. Até que chegou no Scattered Lapsus$ Hunters – e eles não gostaram muito da atenção.
Em um comunicado no Telegram, o grupo atacou o jornalista, dizendo que essa era uma “tentativa desesperada de prejudicar” sua reputação.
Leia a tradução livre do pronunciamento do Scattered Lapsus$ Hunters.
“Pelo que posso perceber, Sr. Krebs, sua “pesquisa” nada mais é do que uma tentativa desesperada de prejudicar minha reputação e uma maneira barata de você se exibir.
Nós dois sabemos que você simplesmente reciclou um relatório da KELA de março deste ano, baixou um registro e transformou-o em um artigo inteiro.
Parabéns, Krebs! Você finalmente aprendeu a usar o Google.
1. A pessoa em questão é, de fato, indiretamente relacionada a mim. No entanto, supor que essa pessoa sou eu é ridículo. Essa pessoa continuou a operar sob pseudônimos como “o5tdev” (usando técnicas completamente diferentes) muito tempo depois de eu ter começado a operar como Rey. Isso parece logicamente possível? Eu tenho múltiplas personalidades ou transtorno bipolar? Talvez no seu mundo.
2. Quando conversamos, você deliberadamente disparou perguntas sem nunca revelar que era uma “entrevista”. Você insinuou falsamente que eu estava conectado ao ransomware ShinySpider. Do nada, você perguntou: “Por que você ainda está com o SLSH?” Eu respondi que é difícil simplesmente abandonar algo assim. Você então selecionou essa frase e a distorceu para fazer parecer uma admissão do meu envolvimento.
3. Você também perguntou se o ShinySpider era gerado por IA. Eu disse que não sabia e que a única coisa que fiz foi simplesmente compartilhar o código-fonte do Hellcat para que eles usassem como base. Qualquer pessoa com um mínimo de inteligência pode ver que o ShinySpider e o Hellcat são agora variantes de ransomware completamente diferentes. Todos sabem que você é apenas alguém que recicla lixo velho para chamar um pouco de atenção.
4. Você estruturou seu artigo para fazer parecer que você entrou em contato com “o pai” primeiro e que eu, de repente, entrei em contato com você em pânico. Na realidade, você me enviou uma mensagem primeiro no X, e só depois eu te enviei uma mensagem no Signal dizendo “Oi, aqui é o Saif!”.
Você provavelmente está se perguntando como eu sabia que você estava planejando me “expor”. Simples. É da mesma forma que eu sei que essa pessoa não sou eu, mas ainda assim está relacionada a mim. Não se preocupe, Krebs, eu sei exatamente quem é esse Saif.
5. Você é tão intelectualmente desonesto que ainda está tentando atribuir a mim a persona “Sp1d3rHunters” da campanha SnowFlake do ano passado, mesmo supostamente tendo todos os registros. Você poderia ter verificado em cinco segundos que não era eu. Então, ou você é incompetente e não consegue ler suas próprias evidências, ou você conscientemente espalhou uma mentira. Isso se chama projeção.
6. Você se esforçou para me pintar como o “núcleo” do SLSH, mesmo sabendo que isso é um absurdo. Por que você não escreveu sobre os outros administradores e membros? Ou a única coisa que você conseguiu foi um monte de lixo e (ainda irritado com todas as provocações no canal) decidiu publicá-lo mesmo assim para poder fingir que “ganhou”?
7. Você atribuiu uma longa lista de TTPs a mim: registros de roubo, engenharia social, phishing, etc. Você afirmou explicitamente que a pessoa “Saif” estava operando sob o pseudônimo “o5tdev”, vandalizando sites, provavelmente por meio de vulnerabilidades do WordPress. Faz sentido que alguém passe de invadir sites WordPress a bloquear a Jaguar Land Rover (causando perdas de 1,9 bilhão de euros), Orange, Telefonica, Schneider Electric, Philips, Apple e outras empresas, tudo isso em poucos meses?
Nós dois sabemos o quanto essa obsessão está prejudicando você :)
É hora de abandonar as falsas acusações e tentar fazer jornalismo de verdade pela primeira vez. No mínimo, dê uma olhada em Allison Nixon. Ela conseguiu rastrear K1berPhant0m (ele é retardado, de qualquer forma) e realmente contribuiu para sua prisão.
Então, aqui está minha oferta, Brian: Eu te pagarei 10 BTC se você puder revelar publicamente minha identidade real e comprovar com provas reais.
Pagarei 15 BTC se, graças ao seu artigo, eu receber uma visita da polícia local por causa das coisas de que você me acusou.”
Para continuar informado sobre este caso, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.