Cybercriminelen van hackerscollectief Scattered Lapsus$ Hunters lijken hun pijlen gericht te hebben op Zendesk-gebruikers. Beveiligingsonderzoekers van ReliaQuest ontdekten meer dan veertig nepwebsites en een verfijnde aanvalsmethode via valse supporttickets.
In de afgelopen zes maanden registreerden de aanvallers tientallen domeinen die het Zendesk-platform moeten nabootsen. Denk aan namen als “znedesk.com” of “vpn-zendesk.com”. Deze zogenaamde typosquatting-domeinen, webadressen met een kleine typefout erin, werden opgezet om inloggegevens te stelen.
ReliaQuest ontdekte dat de criminelen ook valse tickets indienen bij echte Zendesk-portals van organisaties. Via deze tickets proberen ze met behulp van remote-access trojans (RATs) toegang te krijgen op de computers van helpdeskmedewerkers. Als kwaadwillenden via die manier binnen kunnen komen in het netwerk, is het daarna alleen nog een kwestie van het ontvreemden van bedrijfsgeheimen of gevoelige data.
De interesse in helpdesk-infrastructuur is logisch. Zendesk wordt gebruikt door meer dan 100000 bedrijven voor interne en externe supportprocessen. Als je toegang krijgt tot zo’n systeem krijg je mogelijk dus toegang tot duizenden organisaties.
Nepwebsites en valse tickets
Alle gebruikte geregistreerde domeinen delen opvallende kenmerken. Zo gebruiken ze dezelfde registrar (NiceNic), maken ze gebruik van Cloudfare-nameservers en worden er Amerikaanse of Britse contactgegevens ingevuld bij registratie. Deze kenmerken waren ook aanwezig bij een grote aanval op Salesforce eerder dit jaar. “Deze elementen doen denken aan de recente Scattered Lapsus$ Hunters-campagne die zich richtte op Salesforce“, noemen de onderzoekers van ReliaQuest dan ook in hun analyse.
De bevindingen werpen daarnaast nieuw licht op het Discord-datalek van september 2025. Bij dat incident werd het op Zendesk gebaseerde supportsysteem van communicatieplatform Discord aangetast. Aanvallers wisten in september via een kwetsbaarheid in Zendesk persoonlijke informatie te stelen, waaronder namen, e-mailadressen en foto’s van identiteitsbewijzen.
Volgens ReliaQuest was dit incident waarschijnlijk ook het werk van Scattered Lapsus$ Hunters. De nieuwe golf van nepwebsites en gerichte tickets suggereert dat de groep supportplatforms centraal heeft gesteld in hun aanvalsstrategie.
Dreigingen en toekomst
De criminelen lieten begin november van zich horen op Telegram. “Wacht maar op 2026, we draaien momenteel 3-4 campagnes”, pochten ze. Ook waarschuwden ze incident responders hun logs te controleren tot januari 2026, omdat “#ShinyHuntazz komt om jullie klantendatabases op te halen.” Een IR’er is een professional op het gebied van cyberweerbaarheid en iemand die direct reageert op beveiligingsincidenten, waaronder datalekken, cyberaanvallen of storingen van systemen.
![Tekstconversatie op een roze achtergrond waarin staat: "wacht op 2026, we voeren momenteel 3-4 campagnes, groter dan [redactie] en [redactie].](https://www.ictmagazine.nl/wp-content/uploads/2025/11/Zendesk-Scattered-Lapsus-Hunters.avif "Zendesk Scattered Lapsus$ Hunters")
ReliaQuest vermoedt dat de Zendesk-infrastructuur deel uitmaakt van een van deze aangekondigde campagnes. De groep eiste eerder in november verantwoordelijkheid op voor een inbraak bij klantsuccesplatform Gainsight. Zendesk zou wel eens het tweede doelwit kunnen zijn.
Het Scattered Lapsus$ Hunters-collectief is een samenwerkingsverband van eerder gescheiden groepen: social engineering-specialisten van Scattered Spider, datadiefstal-veteranen van ShinyHunters en de op afpersing gerichte Lapsus$. Deze combinatie maakt ze tot een geduchte cyberbende.