Resecurity „zhakowane”? Threat actorzy chwalą się włamaniem, firma twierdzi: to była pułapka (honeypot)

Wprowadzenie do problemu / definicja luki

Na początku stycznia 2026 w kanałach Telegram pojawiły się zrzuty ekranu mające „udowadniać” kompromitację Resecurity (firmy z obszaru cyber threat intelligence). Przekaz atakujących był typowy dla operacji nastawionych na rozgłos: „pełny dostęp”, „czaty wewnętrzne”, „lista klientów”, „dane pracowników”, a choćby materiały z obszaru threat intelligence.

Resecurity odpowiada jednak kontrnarracją: to nie był dostęp do produkcji, ale kontrolowany honeypot/honeytrap (środowisko-wabik) w izolacji, zasilone syntetycznymi danymi i „niewartościowymi” artefaktami po to, by obserwować TTP atakujących i zebrać telemetrię.

W praktyce to klasyczny problem w świecie incydentów: nie każda „publikacja dowodów” oznacza realny wyciek. Czasem to prawdziwy kompromis. Czasem – dostęp do przynęty. A czasem – świadome mieszanie prawdy i fałszu, by uderzyć reputacyjnie w ofiarę.

W skrócie

• Kto? Kanał/aktorzy określający się jako powiązani z „Scattered Lapsus$ Hunters (SLH)” opublikowali na Telegramie zrzuty ekranu i deklaracje kompromitacji Resecurity.
• Co twierdzi Resecurity? Że atakujący weszli w odizolowany honeypot z syntetycznymi danymi (m.in. fałszywe rekordy, spreparowane „czaty”, dane płatnicze w formie testowej), a aktywność była monitorowana i raportowana.
• Ważna korekta atrybucji: BleepingComputer zaktualizował materiał, wskazując m.in., iż po publikacji pojawiła się informacja od rzecznika ShinyHunters, iż nie byli bezpośrednio zaangażowani w tę konkretną aktywność (choć nazwa/brand „ShinyHunters” pojawia się w tle SLH).
• Dlaczego to istotne? Bo incydent pokazuje rosnący trend: atakujący „atakują” też firmy bezpieczeństwa, a te coraz częściej stosują decepcję (honeypoty + dane syntetyczne) jako element obrony i kontrwywiadu.

Kontekst / historia / powiązania

W relacjach medialnych przewija się nazewnictwo „Scattered Lapsus$ Hunters” sugerujące mieszankę/overlap środowisk kojarzonych z ShinyHunters, Lapsus$ i Scattered Spider – co samo w sobie jest elementem gry informacyjnej (branding, przerzucanie winy, budowanie „aury” sprawczości).

Resecurity od miesięcy profiluje różne grupy i – jak twierdzi – po wcześniejszych publikacjach na temat tych aktorów miało dojść do wzmożonego zainteresowania ich strony, w tym ukierunkowania na konkretnego pracownika. Security Affairs podkreśla też wątek „odwetowy” i to, iż firmy bezpieczeństwa bywają celem, bo mają wysoką wartość wywiadowczą (procedury, telemetria, źródła danych, kontakty, klienci).

W tle pozostało jeden powód, dla którego takie historie „niosą się” viralowo: screeny z komunikatorów i paneli webowych są dla odbiorców intuicyjnym „dowodem”. Problem w tym, iż screen może pochodzić z produkcji, testu, stagingu… albo z dobrze zrobionej przynęty.

Analiza techniczna / szczegóły luki

1) Co pokazali atakujący

Zgodnie z opisem BleepingComputer, atakujący opublikowali zrzuty ekranu mające pochodzić m.in. z instancji narzędzia współpracy (w tekście pojawia się przykład przypominający Mattermost) oraz korespondencji wewnętrznej. W narracji padały hasła o „pełnym dostępie” i „kradzieży” danych (pracownicy/klienci/raporty).

2) Linia obrony Resecurity: honeypot + syntetyczne dane

Resecurity wskazuje, że:

• już 21 listopada 2025 wykryto rekonesans wobec usług wystawionych publicznie,
• w odpowiedzi uruchomiono konto-pułapkę w emulowanym środowisku, zasilonym syntetycznymi danymi (m.in. datasetami opartymi o znane wycieki, generowane treści i „chatter”/logi),
• zebrano IoA/telemetrię (IP, proxy, automatyzację skrobania danych), a materiał miał zostać przekazany odpowiednim podmiotom.

W raporcie Resecurity (24 grudnia 2025, z aktualizacją z 3 stycznia 2026) pojawiają się bardzo konkretne smaczki techniczne, typowe dla dobrze zaprojektowanej decepcji:

• „honeytrap” miał udawać realny system, ale bez wrażliwych danych,
• pojawia się wzmianka o koncie-wabiku („Mark Kelly”) „podkładanym” w miejscach, gdzie przestępcy kupują dane,
• firma opisuje użycie danych syntetycznych w strukturach przypominających np. rekordy płatności (schema API), fałszywe rekordy klientów i kontrolowany komunikator,
• a także intensywną automatyzację po stronie atakującego (setki tysięcy żądań do dumpowania danych) i potknięcia OPSEC wynikające np. z problemów z proxy.

3) Atrybucja: ShinyHunters czy SLH?

Ważne jest doprecyzowanie, bo w przestrzeni medialnej gwałtownie pojawił się skrót myślowy „ShinyHunters zhakowali Resecurity”. BleepingComputer wprost zaznaczył aktualizację, iż po publikacji ShinyHunters mieli zakomunikować, iż nie brali udziału w tej konkretnej aktywności, co przesuwa akcent na szerszy byt/branding „SLH” i pokazuje typowy chaos atrybucyjny w cyberprzestępczości.
Podobny wątek odnotował też DataBreaches, opisując korekty/komunikaty dotyczące przypisywania aktywności.

Praktyczne konsekwencje / ryzyko

Nawet jeżeli (zgodnie z deklaracją Resecurity) atakujący „weszli tylko w pułapkę”, historia ma realne skutki:

1. Ryzyko reputacyjne i utrata zaufania
   Sam nagłówek „cybersecurity company hacked” działa jak broń psychologiczna. Wystarczy niepewność, by wywołać pytania klientów, audytorów i partnerów.
2. Ryzyko „mylnej interpretacji” dowodów
   Screeny mogą pochodzić z decepcji, ale też z realnych środowisk. Dopóki nie ma niezależnej weryfikacji, organizacje muszą zakładać oba scenariusze.
3. Ryzyko operacyjne: pułapki też mogą zaszkodzić
   Honeypoty/honeytrapy – jeżeli źle odizolowane – mogą stać się furtką do eskalacji lub źródłem „skażenia” (np. błędne IOC, mylenie telemetryki SOC, ryzyko prawne związane z danymi w przynęcie). Resecurity samo sygnalizuje potrzebę zgodności prawnej i ostrożność w doborze danych.
4. Ryzyko dla branży: ataki na firmy bezpieczeństwa jako trend
   Security Affairs przypomina, iż podobne ukierunkowanie miało dotykać też inne znane podmioty z branży – to logiczne: vendorzy bezpieczeństwa mają dostęp do wysokiej jakości informacji o zagrożeniach.

Rekomendacje operacyjne / co zrobić teraz

Jeśli zarządzasz bezpieczeństwem (albo po prostu czytasz tę historię jako CISO/SOC), potraktuj ją jak checklistę:

1. Oddziel „narrację” od „artefaktów”

• Czy w dowodach widać elementy, które muszą pochodzić z produkcji (np. unikalne identyfikatory, świeże dane transakcyjne, integracje)?
• Czy artefakty mogą pochodzić z labu/stagingu/honeypota?

2. Zweryfikuj ekspozycję powierzchni ataku

• przegląd usług wystawionych publicznie (SSO/IdP, panele webowe, VPN, aplikacje kolaboracyjne),
• szybki przegląd logów uwierzytelniania (nietypowe lokalizacje, nietypowe ASN/VPN, anomalie).

3. Wprowadź decepcję w sposób „bezpieczny z definicji”

• izolacja sieciowa i tożsamościowa (zero trust dla przynęt),
• telemetryka i alertowanie z minimalnym ryzykiem false positive,
• przemyślany dobór danych (bez realnych danych klientów i bez wrażliwych PII; jeżeli używasz danych „z wycieków”, konsultuj prawnie).

4. Zarządzanie komunikacją incydentową

• przygotuj krótkie, spójne Q&A dla klientów i partnerów,
• podkreśl różnicę: „dostęp do przynęty” vs „kompromitacja produkcji”,
• publikuj konkrety (zakres, daty, wskaźniki), bo ogólniki napędzają plotki.

5. Higiena tożsamości

• rotacja tokenów/kluczy i weryfikacja ich przechowywania (nawet jeżeli „to tylko honeypot”, reputacyjnie lepiej mieć twarde dowody porządku),
• MFA odporne na phishing (tam, gdzie to realne),
• zasada minimalnych uprawnień dla kont serwisowych.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten incydent jest ciekawy, bo odwraca klasyczną rolę „ofiary”: tu firma twierdzi, iż z premedytacją wystawiła wabik, aby obserwować napastnika. To różni się od typowych wycieków, gdzie:

• kompromis jest wykrywany po fakcie,
• komunikacja zaczyna się od minimalizowania („badamy sprawę”),
• a dopiero później pojawiają się twarde dane.

W wariancie „honeypot-first” komunikacja jest bardziej ofensywna: „to my was złapaliśmy”. To może działać odstraszająco, ale też bywa ryzykowne – bo jeżeli w przyszłości wypłynie dowód na dostęp do produkcji, narracja firmy zostanie brutalnie podważona. Dlatego najważniejsze są: dowody izolacji i precyzyjne zakresy.

Podsumowanie / najważniejsze wnioski

• Wydarzenia z 3 stycznia 2026 pokazują, jak łatwo zbudować medialny „wyciek” na bazie screenów i mocnych deklaracji.
• Resecurity utrzymuje, iż to była operacja decepcyjna oparta o honeytrap i dane syntetyczne, a nie kompromitacja produkcji.
• Atrybucja jest niejednoznaczna: wątek ShinyHunters został w relacjach doprecyzowany i częściowo zdystansowany od tej konkretnej aktywności.
• Dla obrońców to dobry pretekst, by przemyśleć: czy decepcja ma sens w mojej organizacji i czy potrafię ją wdrożyć bez tworzenia nowych ryzyk.

Źródła / bibliografia

1. BleepingComputer – opis roszczeń, screenów i aktualizacji dot. atrybucji (3 stycznia 2026). (BleepingComputer)
2. Resecurity – raport o decepcji z użyciem danych syntetycznych + aktualizacja dot. „wpadnięcia” w honeypot (24 grudnia 2025 / 3 stycznia 2026). (resecurity.com)
3. Security Affairs – streszczenie i kontekst branżowy (4 stycznia 2026). (Security Affairs)
4. HackRead – relacja i interpretacja screenów w kontekście honeypota (3 stycznia 2026). (Hackread)
5. DataBreaches – komentarz i aktualizacje dot. przypisywania aktywności (3 stycznia 2026). (DataBreaches.Net)