摘要传统网络安全研究多将黑客活动主体定义为层级化犯罪组织难以解释 Scattered Spider 这类松散关联、多子集群独立运作的新型网络犯罪运动。本文依托 Group-IB 2026 年专项威胁情报报告系统解构 Scattered Spider 去中心化集群架构、跨行业攻击目标、标准化社会工程 TTP 工具链厘清其与 Oktapus、UNC3944、Octo Tempest 等子集群的从属关联关系。该威胁体系不以零日漏洞、高级恶意代码为核心攻击手段依靠语音钓鱼、短信钓鱼、SSO 身份仿冒、SIM 劫持、远程控制工具投放完成初始入侵依托勒索软件、加密货币窃取实现变现去中心化架构使其具备极强抗打击能力单一子集群抓捕无法根除整体威胁。本文梳理电信运营商、营销 SaaS、加密货币机构、线下文旅企业四大典型受害场景归纳攻击者情报搜集、社工渗透、持久驻留、资产变现全链路操作流程构建 “身份硬件强认证 多渠道社工行为检测 威胁情报联动拦截 员工分层安全培训” 四维闭环防御框架配套 Python 自动化脚本实现仿 Okta / 微软 SSO 钓鱼页面批量识别、企业异常 SIM 换卡行为巡检。反网络钓鱼技术专家芦笛强调针对去中心化社工导向犯罪集群单纯依靠边界防火墙、终端杀毒无法形成有效防护必须打通身份安全、通信流量审计、人员安全意识三层防御链路。论文结合 MGM、Twilio、Riot Games 等标志性入侵事件完成威胁成效量化分析提出适配中小企业、大型集团、电信服务商三类主体的分阶段落地防护流程弥补现有威胁研究偏重单一攻击样本、缺少去中心化集群整体治理方案与自动化检测代码的短板为政企机构应对同类松散型社工犯罪集群提供可落地标准化实操范式。关键词去中心化网络犯罪Scattered Spider社会工程攻击SSO 钓鱼SIM 交换威胁情报身份安全1 引言1.1 研究背景与问题提出2022 年以来全球多起高影响力网络入侵事件均被安全厂商标注为 Scattered Spider 威胁主体包括 Twilio 大规模客户数据泄露、MGM 与凯撒酒店勒索攻击、Riot Games 源码窃取、英国连锁零售企业数据勒索等事件。传统网络威胁研究长期采用 “中心化黑客组织” 分析模型默认攻击者存在固定管理层、统一行动指令、集中资金与技术储备但 Group-IB 2026 年 7 月发布的专项溯源报告推翻该固有认知证实 Scattered Spider 并非单一犯罪团伙而是由数十个互不隶属、仅共享 TTP 与工具的小型子集群构成的去中心化网络犯罪运动类比匿名者Anonymous松散黑客社群运作模式。该威胁体系核心特征为以社会工程学为全部攻击突破口无复杂漏洞挖掘能力依靠人工语音诱导、仿冒身份登录页面、SIM 劫持绕过企业 MFA 验证体系攻击门槛极低、复制扩散速度快。各子集群规模普遍不超过 5 人独立承接攻击任务、自主变现部分子集群甚至互不知晓其他分支存在执法部门抓捕个别成员仅能短暂中断单条攻击链路无法摧毁整体威胁生态。同时行业内存在厂商命名分化问题Crowdstrike 命名为 Scattered SpiderGroup-IB 旗下子集群标签 OktapusPalo Alto 标注 Muddled Libra微软命名 Octo TempestMandiant 定义 UNC3944行业缺乏统一的集群归属判定标准导致企业威胁情报整合、攻击溯源、防护策略落地存在严重割裂。当前学术研究存在三点明显不足其一多数文献仍沿用传统单一黑客组织分析框架未针对去中心化松散犯罪集群建立专属风险研判模型其二现有研究多聚焦单一勒索事件或单一钓鱼样本缺少对 Scattered Spider 全链路社工攻击工具链、多行业目标选择逻辑的完整梳理其三落地防护方案多停留在 MFA、钓鱼警示等基础建议缺少适配 SSO 仿冒、SIM 劫持、语音钓鱼的自动化检测代码与分行业落地实施流程。基于 Group-IB 完整威胁情报素材本文以 Scattered Spider 去中心化集群为核心研究对象系统拆解其组织架构、全周期攻击流程、跨行业风险差异搭建一体化防御体系并提供可复用自动化检测脚本填补去中心化社工型网络犯罪治理领域实操研究空白。1.2 研究目标与研究边界1.2.1 核心研究目标第一明确界定 Scattered Spider 去中心化犯罪运动的组织形态厘清各厂商别名、子集群 Oktapus 之间的从属与区分关系建立标准化集群判定依据第二完整拆解 Scattered Spider 情报搜集、社工渗透、持久驻留、资产变现全链路 TTP分类梳理电信、SaaS 营销、加密货币、实体企业四大受害场景差异化攻击路径第三搭建四维一体化闭环防御架构针对 SSO 仿冒钓鱼、SIM 交换劫持、语音短信社工三类核心威胁设计分层防护策略第四提供两套轻量化 Python 自动化检测脚本分别实现仿 SSO 钓鱼页面域名识别、企业员工 SIM 换卡异常行为巡检完成技术落地验证第五设计分行业、分阶段安全落地流程建立多维度防护成效量化评估标准形成长效运营机制。1.2.2 研究边界本文研究范围限定于 Scattered Spider 及其下属子集群发起的社会工程主导型网络攻击核心覆盖 SSO 身份钓鱼、Vishing 语音钓鱼、Smishing 短信钓鱼、SIM 劫持、远程控制工具投放、勒索软件附属合作、加密货币窃取七类威胁不深度覆盖国家级 APT、内核漏洞利用、工业控制系统底层入侵等高技术门槛攻击研究对象包含电信运营商、SaaS 服务商、文旅零售企业、金融加密机构四类主体防护方案兼顾中小企业无专职安全团队、大型集团完整 SOC 运营两种场景。1.3 研究思路与论文结构全文遵循 “组织架构界定 — 全链路攻击 TTP 拆解 — 分行业受害场景分析 — 传统安全体系短板剖析 — 四维防御架构搭建 — 自动化代码落地 — 分阶段实施流程 — 防护成效量化评估 — 长效运营策略 — 总结展望” 逻辑递进。章节结构安排第 2 章依托 Group-IB 情报梳理 Scattered Spider 去中心化集群基础定义、厂商别名体系、标志性入侵事件第 3 章完整拆解攻击者全生命周期攻击流程、工具集与社工技术细节第 4 章区分四大目标行业对比差异化攻击路径与受害后果第 5 章分析传统企业安全架构应对去中心化社工集群的固有缺陷第 6 章构建四维闭环防御体系并分层解析核心防护技术第 7 章提供两套 Python 自动化检测脚本完成技术验证第 8 章设计适配不同规模企业的分阶段落地实施流程第 9 章建立多维度防护成效量化评估指标第 10 章提出常态化对抗运营优化策略第 11 章总结全文并提出后续拓展研究方向。2 Scattered Spider 去中心化犯罪集群基础定义与行业事件梳理2.1 去中心化集群核心概念界定Group-IB 通过海量攻击样本、攻击者通信日志、Telegram 地下社群溯源得出核心结论Scattered Spider 不属于具备层级架构、统一指挥、固定资金池的传统黑客组织而是一套依靠共享战术、工具、社工话术形成的网络犯罪运动由数十个独立小型子集群构成本文统一称之为去中心化犯罪集群。集群具备三大标志性组织特征子集群完全独立运作单支子集群人数多为 2–5 人自主选择攻击目标、独立完成社工渗透、自主对接勒索软件团伙或加密货币买家变现不同子集群之间无上下级隶属关系部分分支甚至不存在直接沟通渠道共享标准化攻击资产所有子集群共用同源 Okta / 微软 / 谷歌 SSO 钓鱼模板、AnyDesk 远程载荷、P1 语音机器人、SnusBase 泄露数据库、Google Voice 诈骗语音线路攻击工具、话术模板在地下 Telegram 社群公开流转形成统一 TTP 特征语言与地域高度统一全部子集群成员以英语为母语集中分布于美国、加拿大依靠本土口音完成语音社工冒充企业 IT、HR 人员时区痕迹集中为 PST、EDT 时区可作为集群溯源辅助判定依据。类比匿名者黑客社群运作逻辑“Scattered Spider” 是外部安全厂商对具备统一攻击特征所有子集群的统称而非某一固定团伙名称。其中 Oktapus 是最早被溯源、攻击样本最丰富的核心子集群属于 Scattered Spider 体系下的分支二者不能等同Muddled Libra、Octo Tempest、UNC3944 均为不同安全厂商对同体系其他子集群的独立命名不存在本质区分。2.2 集群发展时间线与标志性入侵事件Scattered Spider 体系最早活动痕迹追溯至 2022 年 3 月2022–2025 年连续爆发多起全球知名入侵事件完整时间线如下2022 年 3–8 月 Oktapus 子集群发起首轮大规模 SIM 交换专项攻击定向美国、加拿大电信运营商、BPO 外包企业目标为劫持员工手机号获取企业后台权限Twilio 125 家客户数据在此阶段泄露攻击者同步投放仿 Okta 登录钓鱼页面诱导员工下载伪装诊断工具的 AnyDesk 远控程序2023 年 1 月 Oktapus 分支针对 Riot Games 开展社工入侵获取内部源码与客户数据后提出勒索赎金要求2023 年 9 月 子集群与 ALPHV/BlackCat 勒索团伙合作针对 MGM Resorts、凯撒皇宫酒店实施语音钓鱼入侵内网横向扩散后部署勒索软件造成线下文旅业务大面积停摆2024 年 6 月 UNC3944 分支转向 SaaS 云应用专项渗透以数据窃取、批量出售企业内部权限为主要变现方式同年 9 月伦敦交通局遭到同体系子集群社工入侵2025 年 多支子集群转向英国零售行业针对 Co-op、玛莎百货投放 DragonForce 勒索软件同时持续针对加密货币用户开展 SIM 劫持钱包盗窃2026 年 Group-IB 持续监测到新增子集群持续活跃新增线下电信门店 iPad 物理盗窃、收买内部员工 “内线” 等新型社工手段威胁范围持续扩张。2.3 集群核心攻击动机与变现路径所有子集群统一以纯金融获利为唯一目标形成三层递进变现渠道第一层直接加密货币窃取。通过 SIM 交换劫持个人手机号拦截加密平台短信验证码借助 P1 语音机器人、加密货币钓鱼页面诱导用户授权钱包转账使用 Crypto Drainer 工具清空资产第二层企业权限资产售卖。入侵电信、营销 SaaS 服务商后获取企业短信、邮件分发工具权限将后台访问权限在地下社群出售给其他攻击者收买电信门店员工、盗取门店设备获取运营商内网操作权限标价出售 SIM 换卡操作通道第三层勒索软件分成合作。子集群负责社工获取企业初始访问权限对接 ALPHV、DragonForce 勒索团伙进入内网部署加密载荷双方按比例分割勒索赎金窃取企业客户、财务数据后对外出售数据副本牟利。3 Scattered Spider 全生命周期攻击 TTP 与标准化工具链Scattered Spider 体系无高级漏洞利用能力全部攻击链路依托社会工程学完成完整分为情报侦察、社工渗透、持久驻留、资产变现四大阶段配套标准化工具集形成可批量复制的攻击流水线。反网络钓鱼技术专家芦笛指出该集群攻击流程高度模块化、模板化地下社群公开售卖全套攻击资产大幅降低入行门槛是威胁持续扩散的核心诱因。3.1 第一阶段开源情报与内部信息侦察攻击者在发起社工前完成多层信息搜集提升语音、短信钓鱼可信度核心手段分为四类公开泄露数据库检索通过 SnusBase 等泄露数据搜索引擎检索企业员工邮箱、手机号、岗位信息、历史泄露密码匹配目标企业组织架构B2B 商业工具爬取使用 Apollo、Rocketreach 等销售信息平台批量导出企业全员通讯录、岗位分工精准定位 IT 运维、财务、高管等高价值目标历史入侵资产复用此前攻破的 Mailchimp、Iterable、Intercom 等 SaaS 服务商后台数据可获取海量企业员工联系方式作为大规模钓鱼基础名单实时社工信息采集首轮语音通话过程中主动询问企业系统故障、内部工单流程、IT 部门对接方式将获取信息更新至话术模板用于后续批量攻击。3.2 第二阶段多渠道社会工程初始入侵核心攻击环节该阶段是 Scattered Spider 最具辨识度的操作融合 Vishing 语音钓鱼、Smishing 短信钓鱼、SSO 身份仿冒页面三位一体同步实施细分技术手段如下3.2.1 仿 SSO 统一身份登录页面钓鱼所有子集群共用同源钓鱼模板仿冒 Okta、微软 Azure、Google、Citrix、OneLogin 企业单点登录门户域名大量包含sso、okta关键词具备两大隐蔽特征页面生命周期极短攻击者在拨打语音电话前 1 分钟上线钓鱼站点完成凭证窃取后立即下线规避安全厂商域名收录凭证提交后自动下发远控载荷员工输入账号密码完成提交页面自动下载伪装成 “系统诊断工具” 的 AnyDesk、TeamViewer 安装包攻击者同步获取设备远程控制权限。3.2.2 Vishing 语音钓鱼 P1 自动呼叫机器人P1 机器人前置筛选批量拨打目标员工手机号语音提示账户异常请按 1 转接人工自动过滤直接挂断的低配合度用户大幅提升人工社工效率人工冒充企业内部岗位攻击者依托原生英语口音冒充 IT 运维、HR、安全部门结合侦察阶段获取的企业真实故障信息增强可信度诱导员工访问伪造 SSO 链接通信线路伪装批量采购 Telegram 渠道售卖的 Google Voice 虚拟号、SIP 改号线路篡改来电显示为企业官方座机降低员工警惕性。3.2.3 SIM 交换劫持突破 MFA 多重验证针对电信运营商员工、加密货币用户两大核心目标形成两条完整 SIM 劫持链路远程社工劫持冒充运营商后台部门致电门店或客服员工骗取手机号过户 PIN 码发起号码携转操作拦截短信 MFA 验证码线下物理窃取辅助部分子集群前往电信线下门店盗取前台 iPad 等内网设备设备锁定时通过社工套取解锁密码直接操作运营商后台发起 SIM 换卡同时公开悬赏 3000 美元收买电信内部员工充当内线协助完成无授权 SIM 过户。3.2.4 Smishing 短信钓鱼辅助施压同步向目标员工发送短信附带仿冒 SSO 短链接配合语音通话制造 “账号紧急冻结” 的紧迫感逼迫员工在未核验 URL 真伪的情况下输入身份凭证。3.3 第三阶段内网持久驻留工具集成功获取员工设备访问权限后子集群部署标准化持久化工具维持长期内网访问通道商业远程控制工具AnyDesk、TeamViewer 为主流载荷依托合法软件签名规避终端杀毒拦截凭证窃取工具Mimikatz 抓取本地存储的账号密码、浏览器缓存身份凭证内网横向渗透利用窃取的员工账号访问 SharePoint、企业邮箱、财务系统批量导出客户、合同、薪资敏感数据。3.4 第四阶段资产变现工具与操作流程加密货币窃取工具Crypto Drainer 仿冒交易所页面诱导钱包授权、P1 机器人劫持手机号拦截交易所验证码清空用户加密资产勒索软件合作链路将企业内网访问权限出售给 ALPHV、DragonForce 勒索团伙由勒索团伙部署加密载荷双方分成赎金权限与数据售卖将入侵获取的 SaaS 短信、邮件分发后台权限、企业客户数据库在地下加密社群公开标价出售。4 Scattered Spider 分行业目标攻击路径与受害风险对比Group-IB 情报显示该去中心化集群具备机会主义攻击特征不同行业企业的攻击切入点、受害损失存在显著差异本节划分四大核心受害行业逐一拆解。4.1 电信运营商及线下授权门店电信企业是集群核心前置跳板目标攻击核心诉求为获取 SIM 换卡后台操作权限衍生双重风险远程社工入侵客服后台冒充总部 IT 部门致电员工诱导访问仿 Okta 页面窃取账号登录运营商过户系统批量发起 SIM 劫持线下门店物理设备盗取窃取前台业务平板套取解锁密码后直接操作客户手机号携转次生风险获取运营商权限后将 SIM 劫持通道出售给其他攻击者批量针对加密货币用户实施钱包盗窃企业自身客户手机号信息泄露引发大规模用户资产损失与合规处罚。4.2 营销 SaaS 服务商Twilio、Mailchimp、Iterable 等该类企业并非攻击者最终目标而是作为攻击跳板存在核心攻击逻辑社工获取 SaaS 后台管理员权限控制企业批量短信、邮件分发通道利用服务商官方渠道向海量终端客户推送仿冒钓鱼链接借助正规企业域名提升钓鱼可信度同步导出服务商存储的全部客户联系方式在地下社群售卖给其他社工犯罪团伙。4.3 加密货币企业与个人投资者加密货币用户是集群直接变现终端目标攻击手段高度聚焦 SIM 劫持定向加密企业员工社工入侵获取高净值投资者客户名单针对个人投资者投放 Coinbase、Gemini 仿冒登录页面配合 SIM 交换拦截短信验证码依托 Crypto Drainer 工具诱导用户授权交易直接清空加密钱包资产资金通过混币工具洗白。4.4 实体大型企业文旅、零售、游戏MGM、Riot Games、英国连锁零售企业属于直接勒索变现目标攻击链路语音钓鱼获取企业员工 SSO 账号与远控权限内网横向渗透至财务、核心业务服务器对接勒索团伙部署加密软件阻断门店、线上业务正常运营索要大额加密货币赎金同时窃取客户隐私数据以数据泄露作为二次要挟手段。5 传统企业安全体系应对 Scattered Spider 去中心化集群的固有短板多数企业现有安全架构基于对抗漏洞攻击、恶意代码入侵设计针对社工主导、去中心化、模块化复制的 Scattered Spider 威胁存在多层底层缺陷无法形成闭环防御。5.1 身份认证体系存在 MFA 绕过漏洞企业普遍部署短信验证码 MFA 作为防护手段但未配套 FIDO2 硬件密钥攻击者通过 SIM 交换完全拦截短信验证码多重验证机制形同虚设同时缺少仿 SSO 页面访问行为检测无法识别员工主动跳转仿冒域名提交凭证的高危操作。5.2 缺少多渠道社会工程流量统一审计能力传统安全工具割裂邮件、短信、语音、终端流量邮件网关仅过滤邮件钓鱼无法管控运营商短信、外部 Google Voice 虚拟来电上网行为管理仅记录网页访问无法识别员工下载 AnyDesk 等远控工具的异常行为社工攻击跨渠道链路无法关联溯源。5.3 威胁情报更新与集群判定机制缺失安全设备仅收录已知恶意域名、IP 特征无法同步地下社群持续流转的新型 SSO 钓鱼模板企业无法区分单一钓鱼样本与去中心化集群标准化 TTP难以预判后续批量攻击浪潮只能被动处置已发生入侵事件。5.4 员工安全培训未覆盖新型社工场景传统安全意识培训仅普及邮件恶意附件识别缺少 Vishing 语音钓鱼、SIM 劫持风险、仿冒企业 IT 人员话术识别、短链接 URL 核验等专项教学无常态化模拟语音、短信钓鱼演练员工面对人工来电诱导时风险识别能力薄弱。5.5 外部供应商、门店线下资产管控空白企业安全策略仅覆盖总部办公终端忽略线下电信门店平板、外包 BPO 服务商、第三方 SaaS 合作平台等边缘资产攻击者利用边缘薄弱入口完成初始渗透内网横向扩散后造成全域损失。6 适配 Scattered Spider 社工集群的四维闭环防御架构结合 Group-IB 防护建议与行业实战经验本文搭建硬件身份强认证底座 — 多渠道社工行为动态检测 — 威胁情报联动拦截 — 分层人因安全加固四维一体化防御架构完整覆盖攻击者全攻击链路阻断情报侦察、社工入侵、持久驻留、资产变现全流程。6.1 第一层FIDO2 硬件密钥身份强认证底座针对 SIM 交换绕过短信 MFA 的核心漏洞重构企业身份验证体系全员强制部署 FIDO2 安全密钥YubiKey 等作为唯一二次验证手段彻底停用短信、语音验证码 MFA消除 SIM 劫持绕过验证的攻击路径高风险岗位IT、财务、门店管理员、高管配置双硬件密钥密钥丢失需线下人工核验身份重置权限SSO 平台配置域名白名单仅允许企业官方 Okta、Azure 域名发起身份验证请求外部仿冒 SSO 域名直接拦截身份提交操作。6.2 第二层多渠道社工行为动态检测核心层打通邮件、短信、语音、终端、SSO 登录全流量日志建立员工正常访问行为基线自动识别四类 Scattered Spider 典型高危行为短生命周期未知 SSO 域名访问、提交账号密码后同步下载 AnyDesk/TeamViewer 远控程序外部虚拟运营商Google Voice、SIP 改号线路高频呼入员工办公电话通话后访问陌生登录页面员工批量发起手机号携转、SIM 换卡申请或短时间多次查询运营商过户 PIN 码终端设备主动连接加密货币钓鱼域名、批量导出企业通讯录至外部网页。该层配套下文 Python 自动化巡检脚本实现 7×24 小时无人值守风险扫描高危行为自动触发告警并临时阻断网络访问。6.3 第三层去中心化集群威胁情报联动拦截层建立标准化威胁情报同步机制应对子集群持续更新钓鱼模板、工具域名的特征订阅 Group-IB、CISA、FBI 公开 Scattered Spider 专项情报同步新增仿 SSO 域名、虚拟诈骗线路、地下社群售卖的攻击资产黑名单内部安全团队定期汇总企业捕获的钓鱼页面、社工话术反向上传至行业威胁共享平台阻断同体系其他子集群复用相同攻击模板针对第三方 SaaS、电信门店、外包 BPO 供应商开展季度情报风险审计排查边缘资产漏洞。6.4 第四层社工场景专项安全意识人因加固层针对 Scattered Spider 语音、短信社工攻击设计轻量化培训体系课程覆盖四大核心场景仿 IT 人员语音钓鱼识别、SSO 页面 URL 核验规范、SIM 交换劫持风险、陌生远控工具下载危害按月开展模拟 Vishing 语音钓鱼、Smishing 短信钓鱼演练统计员工泄露信息、点击恶意链接的误操作数据定向推送强化培训建立可疑社工行为一键上报通道员工收到陌生诈骗来电、短信可直接提交安全团队上报数据反向优化第二层行为检测基线实现技术防御与人因培训双向闭环。7 适配 Scattered Spider 威胁的自动化检测 Python 代码示例本节提供两套轻量化 Python 脚本分别实现仿 SSO 钓鱼域名自动识别、企业 SIM 换卡异常行为巡检无需重型安全硬件中小企业可直接配置定时任务执行作为四维防御架构第二层检测能力补充。7.1 脚本一仿 Okta/Azure SSO 钓鱼域名风险识别脚本该脚本抓取企业上网日志匹配 Scattered Spider 集群标志性钓鱼域名特征识别包含sso、okta关键词的未知外部域名同时检测访问域名后同步下载远控工具的联动高危行为输出风险员工清单。# SSO仿冒钓鱼域名自动化检测脚本# 依赖pandas、logging、reimport reimport loggingimport pandas as pd# 日志持久化存储logging.basicConfig(filenamesso_phish_detect.log,levellogging.INFO,format%(asctime)s | %(message)s)# Scattered Spider钓鱼域名特征关键词SSO_SUSP_KEYWORDS {okta, sso, azure-login, microsoft-auth, citrix-sso}# 集群常用远控工具安装包特征文件名RAT_FILE_NAMES {AnyDesk.exe, teamviewer_setup.exe, diagnostic_run.exe}# 企业官方合法SSO域名白名单WHITELIST_SSO_DOMAINS {sso.company.com, auth.company.onmicrosoft.com}def extract_domain(url_text: str) - str:从访问URL中提取根域名domain_pattern rhttps?://([^/])match_result re.search(domain_pattern, url_text)if match_result:return match_result.group(1).lower()return def scan_sso_phish_log(log_csv_path: str) - list:读取上网日志CSV识别仿SSO钓鱼访问行为日志字段user_account,access_url,download_file,access_timehigh_risk_user []try:log_df pd.read_csv(log_csv_path, encodingutf-8)for index, row in log_df.iterrows():user row[user_account]url str(row[access_url])down_file str(row[download_file])domain extract_domain(url)# 过滤白名单合法域名if domain in WHITELIST_SSO_DOMAINS:continue# 判定1域名包含SSO钓鱼特征关键词hit_keyword any(word in domain for word in SSO_SUSP_KEYWORDS)# 判定2同步下载远控工具hit_rat any(rat in down_file for rat in RAT_FILE_NAMES)if hit_keyword and hit_rat:risk_info {user: user,mal_domain: domain,mal_file: down_file,access_url: url}high_risk_user.append(risk_info)log_msg f高危SSO钓鱼访问 用户:{user} 域名:{domain} 下载载荷:{down_file}logging.info(log_msg)except Exception as e:logging.error(f日志扫描异常{str(e)})return high_risk_userif __name__ __main__:risk_list scan_sso_phish_log(internet_access_log.csv)if len(risk_list) 0:print(检测到Scattered Spider特征SSO钓鱼高危员工)for item in risk_list:print(f账号{item[user]} 恶意域名{item[mal_domain]} 远控文件{item[mal_file]})else:print(未检测到仿SSO钓鱼高危访问行为)脚本落地说明企业上网行为管理设备每日导出访问日志脚本配置每日凌晨自动执行识别同时访问仿 SSO 域名并下载 AnyDesk 等远控程序的员工第一时间推送安全管理员处置。反网络钓鱼技术专家芦笛指出该脚本精准匹配 Scattered Spider 标志性双联动攻击行为可有效弥补传统 URL 黑名单无法覆盖短期存活钓鱼站点的短板。7.2 脚本二企业员工 SIM 换卡 / 携转异常行为巡检脚本针对电信运营商、加密企业设计读取运营商后台 SIM 变更操作日志识别短时间高频发起 PIN 码查询、手机号携转的异常账号预警 SIM 劫持风险。# SIM交换劫持异常行为巡检脚本# 依赖pandas、loggingimport pandas as pdimport logginglogging.basicConfig(filenamesim_swap_risk.log, levellogging.INFO)# 风险判定阈值24小时内查询携转PIN超过3次判定为高风险PIN_QUERY_THRESHOLD 3def scan_sim_change_log(sim_log_path: str) - list:读取运营商SIM操作日志识别SIM劫持前兆行为日志字段staff_id,customer_phone,operation_type,operate_timeoperation_type包含: pin_query、port_transfer、sim_replacerisk_staff []try:sim_df pd.read_csv(sim_log_path, encodingutf-8)# 筛选PIN码查询、携转、换卡操作记录target_ops sim_df[sim_df[operation_type].isin([pin_query, port_transfer, sim_replace])]# 按员工账号统计24小时内操作次数staff_oper_count target_ops.groupby(staff_id).size()for staff, count in staff_oper_count.items():if count PIN_QUERY_THRESHOLD:staff_records target_ops[target_ops[staff_id] staff]risk_data {staff_account: staff,total_risk_ops: int(count),risk_customers: list(staff_records[customer_phone].unique())}risk_staff.append(risk_data)log_info fSIM劫持高风险员工{staff} 24h风险操作次数{count}logging.info(log_info)except Exception as err:logging.error(fSIM日志读取失败{str(err)})return risk_staffif __name__ __main__:risk_result scan_sim_change_log(carrier_sim_operation.csv)if risk_result:print(SIM交换劫持风险员工清单)for info in risk_result:print(f工号{info[staff_account]} 风险操作总数{info[total_risk_ops]})else:print(无SIM换卡异常操作记录)脚本落地说明电信企业每日导出营业厅、后台客服 SIM 变更操作日志脚本自动识别高频查询携转 PIN 码的员工账号提前拦截 Scattered Spider 子集群社工套取过户权限的攻击链路加密货币企业可对接客户账号变更日志监控客户手机号批量携转行为预警钱包资产被盗风险。8 分规模企业四维防御体系分阶段落地实施流程基于 Scattered Spider 去中心化集群攻击特征区分中小企业、大型集团、电信服务商三类主体统一设置三阶段标准化落地流程兼顾部署成本与防护完整性。8.1 第一阶段1–7 天身份底座加固与自动化检测部署核心目标阻断 SIM 劫持、仿 SSO 钓鱼两大核心攻击入口快速搭建基础防护能力。身份认证改造停用短信 MFA采购 FIDO2 硬件密钥分配 IT、财务、门店、高管等高风险岗位配置 SSO 域名白名单拦截外部仿冒登录站点自动化脚本上线部署两套 Python 巡检脚本对接上网日志、运营商 SIM 操作日志配置每日定时扫描资产盘点梳理统计线下门店平板、外包 BPO 服务商、第三方 SaaS 供应商清单梳理边缘薄弱资产首轮员工专项培训推送 Vishing 语音钓鱼、SSO 页面核验轻量化课程完成全员基础学习。8.2 第二阶段8–21 天多渠道行为检测与情报联动建设全流量日志打通整合邮件、短信、虚拟来电、终端下载行为日志建立员工正常访问行为基线威胁情报订阅接入 CISA、Group-IB Scattered Spider 专项情报源同步恶意钓鱼域名、诈骗虚拟线路黑名单外部供应商安全审计对营销 SaaS、外包客服企业开展第三方渗透测试排查可被攻击者用作跳板的漏洞首轮模拟社工演练投放批量短信钓鱼、模拟 IT 语音诈骗来电统计员工误操作数据定向推送强化培训。8.3 第三阶段22–30 天全模块联调与长效运营机制落地模块数据联动优化将模拟演练员工风险数据同步至行为检测基线高风险员工提升登录、网页访问检测阈值SSO 钓鱼脚本捕获的新型域名同步更新情报黑名单告警分级处置流程搭建区分 SIM 换卡高危操作、仿 SSO 页面访问、普通可疑短信三级告警高危事件自动推送安全人员实时处置月度复盘机制建立汇总当月社工攻击拦截数量、员工演练误点率、边缘资产风险隐患动态调整身份权限、检测阈值项目验收交付完整演示钓鱼域名检测、SIM 异常巡检、硬件密钥认证、模拟社工演练全流程功能交付运维操作手册。9 防护成效多维度量化评估体系结合 Group-IB 行业攻击统计数据建立四大维度量化指标客观衡量四维防御架构针对 Scattered Spider 集群的防护效果。9.1 SSO 仿冒钓鱼与远控载荷拦截维度仿 SSO 钓鱼页面前置拦截率落地硬件密钥 域名白名单 自动化脚本前企业仿冒站点访问漏报率普遍超 70%完整部署后拦截目标值≥98%无员工成功向恶意域名提交账号密码AnyDesk/TeamViewer 远控工具恶意下载阻断量上线脚本后员工同步访问钓鱼页面并下载远控程序的行为清零无新内网持久驻留入侵事件。9.2 SIM 交换劫持风险管控维度异常 SIM 携转 / PIN 查询告警响应时长传统人工审核日志需 24 小时排查风险自动化脚本实现小时级扫描风险行为即时告警SIM 劫持类入侵事件数量完整部署防护体系后企业内部员工被社工套取过户 PIN 码、手机号被非法携转事件清零杜绝加密货币资产被盗、企业后台权限泄露次生风险。9.3 外部跳板资产风险管控维度第三方 SaaS、外包供应商漏洞整改完成率季度安全审计后边缘资产高危漏洞整改率 100%消除攻击者利用服务商作为跳板发起批量钓鱼的渠道线下门店终端管控覆盖率电信门店平板、前台业务设备全部纳入终端日志审计范围物理设备被盗后内网入侵风险大幅下降。9.4 员工社工攻击识别能力维度模拟语音 / 短信钓鱼演练误操作率上线培训首月员工误泄露信息、点击恶意链接比例 27%–35%连续 3 个月常态化演练后误操作率降至 5% 以内可疑社工行为主动上报量上线一键上报通道后月度员工主动上报陌生诈骗来电、可疑 SSO 链接数量提升 20 倍形成全员协同风控机制。10 针对去中心化犯罪集群的长效闭环运营优化策略Scattered Spider 子集群持续更新社工话术、钓鱼模板、诈骗线路防护体系不能静态固化需建立四项常态化动态运营机制持续适配攻击手段迭代。10.1 月度社工攻击样本复盘与策略迭代每月汇总自动化脚本捕获的新型仿 SSO 域名、员工上报的诈骗语音话术、SIM 异常操作记录同步更新域名黑名单、检测脚本特征库针对当月新增攻击手段补充专项安全培训课程调整行为检测基线阈值。10.2 季度全渠道红蓝对抗社工专项演练每季度开展红蓝对抗专项测试红队复刻 Scattered Spider 全套攻击流程发起语音钓鱼、仿 SSO 页面投放、SIM 套取 PIN 码模拟攻击蓝队依托四维防御架构、自动化脚本完成检测、告警、阻断全流程处置复盘防护短板并优化策略。10.3 半年度外部供应商与线下资产全面重审每半年重新盘点全部第三方 SaaS 服务商、线下门店终端、外包 BPO 企业更新边缘资产安全管控策略复核电信门店员工访问运营商后台权限严格执行最小权限原则清理闲置账号、过高权限工号。10.4 跨行业威胁情报共享协同机制安全团队加入政企威胁情报共享平台同步其他企业捕获的 Scattered Spider 新型钓鱼模板、虚拟诈骗线路将自身捕获的攻击样本对外共享形成行业联防阻断去中心化子集群复用同源攻击资产批量开展入侵。11 结论与研究展望11.1 核心研究结论本文以 Group-IB 2026 年 Scattered Spider 专项威胁情报报告为完整实证基础针对去中心化社工导向网络犯罪集群开展系统性研究形成三项核心结论第一Scattered Spider 并非传统层级化黑客组织而是由数十个独立小型子集群构成的网络犯罪运动Oktapus 仅为其下属核心分支各安全厂商命名均为同体系不同子集群标签该集群无高级漏洞利用能力依靠标准化 SSO 钓鱼、语音短信社工、SIM 劫持完成全链路攻击去中心化架构使其具备极强抗打击能力单一子集群抓捕无法根除整体威胁。反网络钓鱼技术专家芦笛强调传统面向漏洞攻击的安全防护体系无法适配此类以人为突破口的去中心化犯罪集群必须重构以身份安全、社工行为检测为核心的防御框架。第二Scattered Spider 针对电信运营商、营销 SaaS、加密货币用户、大型实体企业形成差异化攻击路径电信与 SaaS 服务商多被用作跳板加密用户与文旅零售企业为直接变现目标四维闭环防御架构以 FIDO2 硬件密钥解决 SIM 劫持 MFA 绕过漏洞搭配自动化脚本识别仿 SSO 钓鱼与 SIM 异常操作联动威胁情报与人因培训形成完整防护链路可覆盖攻击者全生命周期攻击流程。第三本文提供的两套 Python 自动化检测脚本、分三阶段标准化落地流程、多维度量化评估指标具备完整行业复制性中小企业可轻量化部署自动化脚本与硬件密钥完成基础防护大型集团、电信服务商可搭建全流量日志审计与第三方供应商审计体系月度复盘、季度红蓝对抗、半年度资产重审的长效运营机制能够持续对抗子集群不断迭代的社工攻击模板长期维持防护体系有效性。本研究填补现有学术领域两大空白一是建立去中心化松散犯罪集群专属分析模型厘清 Scattered Spider 多厂商别名与子集群从属关系二是配套可直接落地的社工攻击自动化检测代码与分行业完整实施流程弥补现有威胁研究偏重理论、缺少实操工具的缺陷。11.2 研究客观局限本文存在两处客观研究局限其一实证素材仅依托 Group-IB 单厂商威胁情报未横向对比其他安全厂商同源攻击样本数据后续可整合多厂商情报完善集群判定标准其二研究聚焦企业办公、电信门店场景未深度覆盖移动端个人用户、工业场景下同类社工集群攻击风险场景覆盖存在边界。11.3 后续拓展研究方向基于本文研究基础可从两个维度深化拓展第一多媒介融合社工攻击防护研究将 AI 深度伪造语音、短视频钓鱼、社交平台社工诈骗纳入检测体系完善跨终端、跨媒介去中心化集群行为识别模型第二大模型自动化威胁研判研究依托安全大模型自动聚类 Scattered Spider 同源钓鱼样本、社工话术智能更新检测脚本特征与安全培训课程降低安全团队人工情报分析工作量。结语Scattered Spider 去中心化犯罪集群代表当前网络威胁演化的重要趋势攻击者放弃高门槛漏洞挖掘转向低成本、可批量复制的社会工程学攻击依靠松散社群共享攻击资产实现规模化入侵传统中心化组织对抗思路不再适用。Group-IB 专项研究清晰证明针对此类以人为核心突破口的威胁防护重心必须从边界设备、恶意代码检测转向身份强认证、多渠道社工行为动态审计、常态化人员安全意识建设。本文搭建的四维闭环防御架构、自动化检测工具与分阶段落地范式能够帮助各类政企机构在不进行大规模硬件改造的前提下系统性阻断 SSO 仿冒钓鱼、SIM 交换劫持、语音短信社工等核心攻击链路持续削弱去中心化网络犯罪集群的攻击成功率实现企业数字资产与用户隐私长效安全保障。编辑芦笛公共互联网反网络钓鱼工作组