Cybersecuritybedrijf Resecurity ontkent dat het slachtoffer is van een hack door criminelen die zich presenteren als Scattered Lapsus$ Hunters. Aanleiding voor de discussie waren berichten op Telegram. Daarin claimde de groep toegang te hebben tot interne systemen en gevoelige data te hebben buitgemaakt.
Volgens Resecurity, geciteerd door SiliconANGLE, ging het echter niet om een echt productiesysteem. Het betrof een bewust ingerichte honeypot met volledig synthetische gegevens.
De claims van de aanvallers werden eerder al uitgelicht door BleepingComputer. Dit medium meldde dat de groep screenshots publiceerde van wat interne communicatie en bedrijfsinformatie zou zijn. Daarbij werd gesteld dat medewerkersdata, interne chatlogs, dreigingsrapporten en klantinformatie waren gestolen. De groep positioneert zich als een samenwerkingsverband van meerdere bekende dreigingsactoren, waaronder ShinyHunters en Scattered Spider, al liet een woordvoerder van ShinyHunters later aan BleepingComputer weten dat zij niet betrokken zouden zijn bij deze specifieke actie.
Gecontroleerde honeypot
Volgens Resecurity maken de getoonde screenshots en datasets deel uit van een gecontroleerde omgeving die speciaal is opgezet om aanvallers te misleiden en te observeren. Het bedrijf zegt in november 2025 verdachte verkenningsactiviteiten te hebben waargenomen op publiek toegankelijke systemen. Daarop werd een geïsoleerde omgeving actief gebruikt waarin nepaccounts en realistisch ogende, maar volledig gefabriceerde data waren geplaatst.
BleepingComputer meldt dat Resecurity daarbij bewust een account beschikbaar stelde waarmee de aanvallers konden inloggen. Tijdens deze interactie werd het gedrag van de dreigingsactoren uitgebreid gemonitord. Deze honeypot bevatte onder meer tienduizenden synthetische consumentendossiers en een grote hoeveelheid fictieve betalingsgegevens, gegenereerd in een formaat dat overeenkomt met echte bedrijfsdata.
Toen de aanvallers in december probeerden om de data grootschalig te exfiltreren, registreerde Resecurity volgens eigen zeggen honderdduizenden geautomatiseerde verzoeken, afkomstig van een wisselend netwerk van proxy- en VPN-adressen. Deze activiteit leverde volgens het bedrijf waardevolle technische en operationele informatie op over de gebruikte infrastructuur en aanvalsmethoden. Een deel van die informatie zou zijn gedeeld met opsporingsinstanties.
Resecurity benadrukt dat geen enkele echte medewerker, klant of productieomgeving gevaar heeft gelopen. Alle ingeziene of gekopieerde gegevens zouden uitsluitend voor misleidingsdoeleinden zijn aangemaakt. Het bedrijf presenteert het incident als voorbeeld van actieve cyberverdediging, waarbij organisaties aanvallen niet alleen proberen te blokkeren, maar ook gebruiken om meer inzicht te krijgen in de werkwijze van dreigingsgroepen.
Ondertussen houden de aanvallers vol dat er meer informatie zal volgen. Vooralsnog is er echter geen aanvullend bewijs gepubliceerd dat wijst op een daadwerkelijke inbraak in de echte infrastructuur van Resecurity.