تمكنت السلطات الفرنسية في يونيو 2025 من توقيف أربعة شبان يُشتبه في ارتباطهم بإدارة منصة BreachForums، إحدى أبرز الأسواق الرقمية التي تُتداول عبرها البيانات المسروقة على نطاق عالمي. التحقيق الذي استند إلى معطيات وفرتها أجهزة أميركية، من بينها مكتب التحقيقات الفيدرالي، أعاد تسليط الانتباه على اسم ShinyHunters، الذي ارتبط خلال السنوات الأخيرة بعدد كبير من عمليات اختراق الأنظمة المعلوماتية وتسريب البيانات.
التحقيقات كشفت أن الموقوفين، وهم رجال في بداية العشرينيات من العمر، ينتمون إلى خلفيات اجتماعية متقاربة ويتشاركون نمطاً من العزلة والانخراط المكثف في البيئات الرقمية. أحدهم، البالغ 23 عاماً، يُشتبه في استخدامه أسماء مستعارة متعددة، وأنه لعب دوراً محورياً في إدارة المنتدى وفي عمليات اختراق نُسبت إلى المجموعة. تعقب مسار تحويلات مالية عبر محافظ العملات المشفرة ساهم في تحديد هويته، في مؤشر على اعتماد أدوات مالية يصعب تتبعها تقليدياً.
الملف القضائي لا يزال يواجه تعقيدات مرتبطة بتحديد المسؤوليات الفردية داخل بنية تنظيمية غير واضحة المعالم. بعض المشتبه فيهم أقروا بصلات محدودة بهجمات معلوماتية، مع نفي أي دور مباشر في إدارة المنصة، بينما تشير معطيات أخرى إلى استخدام حسابات مشتركة ومنصات مراهنة رقمية لتحويل الأموال الناتجة عن عمليات ابتزاز. هذا التداخل بين الأدوار يعكس طبيعة الشبكات السيبرانية التي تعتمد على أسماء مستعارة قابلة للتداول بين أكثر من شخص.
ورغم هذه التوقيفات، لم تتوقف الأنشطة المنسوبة إلى ShinyHunters. منذ عام تقريباً، استمرت هجمات جديدة تحمل الاسم ذاته، ما دفع المحققين إلى التعامل معه باعتباره توصيفاً جماعياً أكثر من كونه تنظيماً محدداً. وفق تقديرات صادرة عن شركة Kela المتخصصة في استخبارات التهديدات، فإن الاسم تحول تدريجياً إلى علامة تستخدمها أطراف متعددة داخل اقتصاد الجريمة الرقمية.
تاريخ المجموعة يعود إلى عام 2020، حين برزت في منصات مثل RaidForums وEmpire Market، حيث عرضت قواعد بيانات مسروقة تعود إلى شركات دولية، من بينها منصة التجارة الإلكترونية الإندونيسية Tokopedia وموقع تحرير الصور Pixlr. خلال تلك الفترة، تجاوز عدد الكيانات المتضررة ستين مؤسسة، ما منح الاسم حضوراً واسعاً في أوساط القرصنة.
الأسلوب المعتمد ارتكز على الجمع بين الاختراق والضغط النفسي، عبر التهديد بنشر البيانات الحساسة مقابل دفع مبالغ مالية. إحدى التقنيات المستخدمة تمثلت في حملات تصيد استهدفت مطورين على منصة GitHub، ما أتاح الوصول إلى أنظمة شركاتهم. هذا النموذج، الذي جرى توثيقه في تقارير أميركية عام 2022، أظهر قدرة على تحقيق عوائد مالية مرتفعة مع مستوى تقني متوسط نسبياً.
التحقيقات الدولية سبق أن طالت أفراداً آخرين يُشتبه في صلتهم بالاسم نفسه، من بينهم مواطن فرنسي أوقف في المغرب عام 2022 بناءً على طلب أميركي. إلا أن الروايات المتباينة بين المتهمين، وغياب دليل حاسم على وجود قيادة موحدة، جعلا من الصعب رسم هيكل تنظيمي واضح للمجموعة.
التطور اللافت يتمثل في انتقال الاسم من كيان محدود إلى ما يشبه "علامة" داخل السوق السوداء الرقمية. بعض القراصنة باتوا يستخدمونه لتعزيز مصداقيتهم أو لرفع قيمة البيانات المسروقة التي يعرضونها. هذا الاستخدام أدى إلى نزاعات داخلية، حيث يدعي أفراد أنهم يمثلون الامتداد الأصلي للمجموعة، بينما يعتبر آخرون أن الاسم أصبح متاحاً لمن يوظفه بفعالية.
في ضوء هذه المعطيات، تواجه السلطات تحدياً مزدوجاً: تفكيك الشبكات الفعلية المسؤولة عن الهجمات، وفهم ديناميات الأسماء المستعارة التي لم تعد مرتبطة بأشخاص محددين. هذا التحول يعكس اتجاهاً أوسع في الجريمة السيبرانية، حيث تتراجع الهياكل التقليدية لصالح كيانات مرنة يصعب ضبط حدودها.