Pesquisadores da Resecurity montaram uma armadilha digital e conseguiram que membros do grupo Scattered Lapsus$ Hunters expusessem dados de sua infraestrutura de ataque, incluindo servidores usados nas operações. Os criminosos chegaram a ostentar em um canal do Telegram que haviam invadido a própria Resecurity e roubado grandes volumes de dados, mas depois apagaram a publicação ao descobrirem que tinham caído em um honeypot cuidadosamente preparado meses antes.
Como o honeypot foi montado
A decisão de montar a isca foi tomada em novembro, quando a Resecurity detectou sondagens e reconhecimento contra serviços e aplicações expostos da empresa. A equipe criou um ambiente emulado, isolado de ativos reais e fortemente monitorado, abastecido com uma conta falsa em marketplace de credenciais comprometidas e com grandes volumes de dados sintéticos para torná‑lo atraente.
Para compor o “cenário”, os pesquisadores usaram dois conjuntos de dados: mais de 28 mil registros simulando consumidores e mais de 190 mil registros de transações de pagamento, gerando também mensagens associadas. Esses dados foram construídos a partir de amostras já vazadas e disponíveis na dark web, de forma a imitar uma aplicação de negócios legítima, com histórico financeiro e referências a logs antigos de 2023 para dar verossimilhança.
Atividade dos invasores e captura de TTPs
A atividade inicial dos atacantes foi observada ainda em novembro, mas se intensificou em meados de dezembro, quando passaram a usar ferramentas automatizadas com proxies de IP residenciais para tentar extrair o conteúdo do honeypot. Entre 12 e 24 de dezembro, a Resecurity registrou mais de 188 mil requisições destinadas a “dump” dos dados sintéticos, período em que a empresa documentou cuidadosamente o comportamento e compartilhou informações com autoridades e provedores de internet.
Ao monitorar cada movimento, os analistas mapearam táticas, técnicas e procedimentos (TTPs) do grupo e conseguiram identificar endereços IP de seus servidores, inclusive dois localizados no Egito, quando houve falhas nas conexões via proxy. A partir desses rastros, foi possível construir inteligência de rede detalhada sobre a infraestrutura operacional dos criminosos.
A falsa “invasão” e o desmentido
Cerca de uma semana após a publicação do primeiro blog da Resecurity descrevendo o experimento com dados sintéticos, o grupo Scattered Lapsus$ Hunters anunciou no Telegram que teria invadido a empresa e roubado dados de funcionários, conversas, logs e informações de clientes. Os hackers afirmaram inclusive que estavam cientes da tentativa de “engenharia social” da Resecurity e que supostamente teriam “assumido o controle total” da organização, quando na realidade estavam apenas explorando o ambiente isca.
Em atualização publicada em 3 de janeiro, a Resecurity esclareceu que as capturas de tela divulgadas pelos atacantes se referiam ao subdomínio “[honeytrap].b.idp.resecurity.com”, um sistema emulado com dados comprometidos de terceiros obtidos na dark web, sem qualquer associação com clientes reais. A empresa também explicou que a instância do Mattermost exibida nas imagens foi criada especificamente para a conta de honeypot “Mark Kelly”, provisionada em novembro de 2025 com o único propósito de atrair e monitorar o grupo.
Apoio à investigação e identificação de contas
Segundo a Resecurity, as informações de rede e os carimbos de data e hora coletados durante a observação dos ataques foram repassados a uma agência de aplicação da lei, que usou esses dados para embasar um pedido de intimação (subpoena) relacionado ao ator de ameaça. Além disso, os pesquisadores conseguiram associar uma conta Gmail usada no contexto da operação a um número de telefone baseado nos Estados Unidos e a uma conta Yahoo, detalhes que também foram compartilhados com as autoridades competentes.
O caso ilustra como honeypots com dados sintéticos cuidadosamente construídos podem ser usados não apenas para estudar TTPs de grupos de cibercrime de alto perfil, mas também para mapear infraestrutura, vincular identidades digitais e apoiar investigações criminais sem expor dados reais de clientes ou ativos de produção.






