Amerikaanse aanklagers hebben een vermeende hacker van de groep Scattered Spider weten te traceren dankzij een persistent Windows device ID, zo blijkt uit een recent vrijgegeven federaal aanklacht. Dit unieke apparaat-ID werd eerst gekoppeld aan het account waarmee de aanvallers toegang hielden tijdens een inbraak in mei 2025 bij een luxe juwelierszaak, en vervolgens aan online accounts die volgens justitie toebehoren aan de 19-jarige Peter Stokes.

Stokes, een Amerikaans-Estse dubbelstaatburger die online bekendstaat als "Bouquet", werd uit Finland uitgeleverd en verscheen op 30 juni voor het eerst voor de rechtbank in Chicago, zoals eerder gemeld in de uitgeleverde berichtgeving. Hij wordt beschuldigd van samenzwering, computervredebreuk en fraude en wordt als onschuldig beschouwd totdat zijn zaak is behandeld.

De aanval vond plaats tussen 12 en 15 mei 2025. De aanvallers belden de IT-helpdesk van de juwelier met Google Voice-nummers, deden zich voor als medewerkers die buitengesloten waren en wisten zo wachtwoorden en mobiele apparaten gekoppeld aan multifactor-authenticatie te laten resetten. Binnen enkele uren hadden ze controle over drie accounts, waaronder twee van IT-beheerders. Ze installeerden tunnelingtools zoals ngrok en Teleport, verplaatsten data naar Amazon cloudopslag en haalden minstens 77 gigabyte aan gegevens weg. Hoewel ze probeerden ransomware te plaatsen, werd dit door het beveiligingsteam van het bedrijf geblokkeerd en werden de aanvallers van het netwerk verwijderd. Desondanks stuurden zij een losgeldmail met het onderwerp "IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY [sic]" en vroegen later om 8 miljoen dollar in cryptovaluta. Het bedrijf betaalde niet, maar liep wel ongeveer 2 miljoen dollar schade op door verstoring, onderzoek en herstel.

De toegang werd niet verkregen via een softwarekwetsbaarheid, maar via de helpdesk. De aanbevolen oplossing is een procesmatige aanpak waarbij identiteit wordt geverifieerd vóór een reset, bijvoorbeeld via een terugbelverzoek naar een bekend nummer, goedkeuring door een manager of videoverificatie bij accounts met verhoogde rechten. Phishingbestendige MFA zoals FIDO2-sleutels helpt tegen andere aanvalsmethoden van deze groep, maar is nutteloos als de helpdesk een reset telefonisch uitvoert.

Onderzoekers konden Stokes herleiden via het apparaat dat het ngrok-account aanmaakte. Microsoft meldde aan de FBI dat dit apparaat het Global Device Identifier g:6755467234350028 gebruikte, een persistent ID gekoppeld aan een enkele Windows-installatie die updates overleeft maar verandert bij herinstallatie. Uit Microsoft-gegevens blijkt dat het apparaat om 19:21 UTC op 12 mei 2025 de ngrok-aanmeldpagina bezocht, precies toen het account werd aangemaakt, en ongeveer drie uur later via dezelfde proxy de website van de juwelier bezocht. Dit apparaat verscheen ook op dezelfde IP-adressen en tijden als Snapchat-, Apple- en Facebook-accounts die aan Stokes worden toegeschreven, met locaties in Tallinn (Estland), New York en Thailand, bevestigd door reisgegevens van het Amerikaanse ministerie van Buitenlandse Zaken.

De aanklacht schetst een aanvaller die zijn acties verborg achter VPN-proxy's, tunnelingtools en aliassen, maar zichzelf niet volledig wist te verbergen. Zijn Snapchat-account toonde onder meer geld, horloges en diamanten kettingen met de tekst "HACK THE PLANET" en foto’s van zijn reizen, waaronder een politiebureau in Estland, waarbij hij de autoriteiten uitdaagde.

Hoewel deze arrestatie een enkele operator koppelt aan een specifieke aanval, raakt dit slechts een deel van de bredere dreiging. Volgens recent onderzoek van Group-IB is Scattered Spider geen eenduidige groep, maar een losse verzameling van kleine, onafhankelijke cellen van meestal niet meer dan vijf personen, verbonden door gedeelde tactieken, tools en communicatiekanalen, zonder centrale leiding. Arrestaties van enkele cellen zullen de dreiging als geheel niet stoppen.