安全厂商发现，Scattered Lapsus$ Hunters 黑客组织可能正利用冒充客服请求或工单，对知名工单平台 Zendesk 的客户发动网络钓鱼攻击，11 月 Discord 数据泄露事件可能是这波攻击的一环。

安全公司 ReliaQuest 发现了 40 多个使用拼写错误（typosquatted）和模仿 Zendesk 的网址，这些域名均在近六个月内部署。伪造的域名包括 znedesk[.]com、vpn-zendesk[.]com 等，部分托管了伪装成 Zendesk 单点登录（SSO）的钓鱼网站，显然是为了伪造合法的 Zendesk 环境而设立。研究人员还发现，这些假冒的 Zendesk 域名链接中常混入多个不同企业或品牌名称，更容易诱骗不知情的用户点击。

这些伪造域名的共同点包括：均通过 NickNic 域名注册商注册，注册者使用美国和英国的联系信息，并采用 Cloudflare 隐藏的名称服务器（nameserver）。研究人员推断，这些活动与今年 8 月大规模攻击 Salesforce 平台的 Scattered Lapsus$ Hunters 有关。

证据显示，这些伪造工单的目标是使用 Zendesk 平台作为客服入口的合法企业组织。攻击者通过伪造工单锁定技术支持或客服人员，诱导其访问钓鱼页面，从而感染远程访问木马（RAT）及其他恶意软件。

安全公司指出，针对帮助台部门的攻击需要高度精准的文案设计，例如伪造紧急系统支持请求、虚假密码重置申请等，才能骗取客服人员提供用户凭证或入侵其系统。一旦攻击者成功入侵客服人员的设备，就可能在企业内部网络建立立足点，进行横向移动、网络侦察，最终发起更大规模的系统攻击。

这是 Scattered Lapsus$ Hunters 最新一次行动。今年 9 月，该组织攻击了 Discord 的 Zendesk 支持系统，窃取了超过 550 万条敏感用户数据。当时安全业界尚未意识到 Discord 事件是更广泛 Zendesk 攻击行动的一部分，这也表明 Scattered Lapsus$ Hunters 再次采用了供应链攻击策略。

这伙黑客似乎不会就此罢手。他们在 11 月初于 Telegram 预告，2026 年可能还会发动三到四次攻击，并警告年末假期期间，网络管理员需留意流量日志，因为他们计划在此期间窃取客户数据。