Caçadores de Lapsus$ espalhados exigem que o Google demita especialistas em segurança ou enfrentem vazamento de dados

Na segunda-feira, 1º de setembro de 2025, uma mensagem apareceu em um canal do Telegram vinculado a vários dos grupos de cibercrime mais comentados dos últimos anos. A mensagem, endereçada diretamente ao CEO do Google, Sundar Pichai, exigia a demissão de dois membros da equipe de segurança da empresa. Caso o Google se recusasse, os hackers ameaçaram vazar o que alegavam ser bancos de dados internos.

O grupo por trás da ameaça se autodenomina " Scattered Lapsus$ Hunters ", uma coalizão que combina as táticas e a identidade visual do Scattered Spider, Lapsu$ e ShinyHunters. Em sua declaração, eles destacaram Austin Larsen, analista-chefe de ameaças do Threat Intelligence Group do Google, e Charles Carmakal, um conhecido líder em segurança cibernética que ingressou no Google após a aquisição da Mandiant .

Os hackers também "ordenaram" que as equipes de segurança do Google abandonassem suas investigações em andamento sobre vários grupos numerados pela UNC, que são grupos rastreados de atividades maliciosas identificadas por especialistas em resposta a incidentes.

A mensagem do Telegram tinha um tom explícito. Alertava que, a menos que Larsen e Carmakal fossem demitidos e o Google Threat Intelligence Group e a Mandiant parassem de investigar as atividades atribuídas a UNC3944 , UNC5537 , UNC6040 , UNC6240 e UNC6395 , o grupo vazaria dados que alega ter obtido do Google.

Até o momento, eles não apresentaram nenhuma prova de acesso direto aos sistemas internos do Google. No entanto, o que reforça a situação é a atividade do ShinyHunters em agosto de 2025 , que anteriormente tinha como alvo um sistema Salesforce usado pelo Google para comunicações comerciais.

Essa violação expôs informações de contato e criou oportunidades para campanhas de phishing, mas não comprometeu contas do Gmail nem serviços de atendimento ao consumidor. Especialistas em segurança acreditam que as demandas mais recentes têm mais a ver com intimidação e interrupção de investigações em andamento do que com qualquer acesso confirmado à infraestrutura central do Google.

A inclusão de nomes individuais na ameaça é incomum, mesmo para grupos cibernéticos de alto perfil. Normalmente, os hackers se concentram em extorsão financeira ou roubo de dados confidenciais, mas pedir a demissão de analistas específicos aponta para uma tentativa calculada de enfraquecer a capacidade do Google de rastrear e combater suas operações.

Tanto Larsen quanto Carmakal têm experiência em responder a incidentes sofisticados e coordenar estratégias de defesa contra governos e grupos vinculados a estados e motivados financeiramente.

O Google não emitiu uma resposta pública ao ultimato do Telegram. Como mostram as capturas de tela acima, o grupo continuou a reiterar suas exigências, alertando que, a menos que os funcionários citados sejam demitidos, eles vazarão o que alegam ser dados roubados do Google.