Los investigadores de ciberseguridad advierten sobre dos grupos de ciberdelincuentes que están llevando a cabo «ataques rápidos y de alto impacto» principalmente dentro de los límites de entornos SaaS, minimizando al mismo tiempo la huella de sus actividades.
Se cree que los grupos Cordial Spider (también conocido como BlackFile, CL-CRI-1116, O-UNC-045 y UNC6671) y Snarky Spider (también conocido como O-UNC-025 y UNC6661) se originan a partir de campañas de extorsión y robo de datos de alta velocidad que comparten un sorprendente grado de similitud operativa. Se estima que ambos grupos de hackers han estado activos desde al menos octubre de 2025, y el último es un grupo nativo de habla inglesa que comparte vínculos con el ecosistema de delincuencia electrónica conocido como The Com.
«En la mayoría de los casos, estos atacantes utilizan phishing de voz (vishing) para atraer a los usuarios objetivo a páginas maliciosas de intermediario (AiTM) adversario con temática de SSO, donde capturan datos de autenticación y los migran directamente a aplicaciones SaaS integradas con SSO», dijo Counter Adversary Operations de CrowdStrike en un informe.
«Al operar casi exclusivamente dentro de un entorno SaaS confiable, minimizamos nuestra huella y al mismo tiempo reducimos el tiempo de impacto. La combinación de velocidad, precisión y actividad exclusivamente SaaS crea importantes desafíos de detección y visibilidad para los defensores».
En un informe publicado en enero de 2026, Mandiant, propiedad de Google, reveló que los dos grupos representan una expansión de la actividad de amenazas que emplea tácticas consistentes con ataques con temas de extorsión llevados a cabo por el grupo ShinyHunters. Esto implica hacer llamadas haciéndose pasar por personal de TI y engañar a las víctimas para que las redirijan a una página de phishing para obtener credenciales y códigos de autenticación multifactor (MFA).
Snarky Spider comenzará a robar en 1 hora
La semana pasada, la Unidad 42 de Palo Alto Networks y el Centro de análisis e intercambio de información sobre comercio minorista y hotelería (RH-ISAC) evaluaron con confianza media que los atacantes detrás de CL-CRI-1116 probablemente también estaban asociados con The Com, y que la intrusión se basó principalmente en técnicas de vida fuera de la tierra (LotL), ocultando su ubicación geográfica y utilizando IP básica. Agregó que utiliza proxies residenciales para eludir los filtros de reputación básicos.
«La actividad CL-CRI-1116 se ha dirigido activamente a los sectores minorista y hotelero desde febrero de 2026, utilizando específicamente una combinación de ataques de phishing que se hacen pasar por personal de la mesa de ayuda de TI y sitios de inicio de sesión de phishing para robar credenciales», dijeron los investigadores Lee Clark, Matt Brady y Quong Dinh.
Se sabe que los ataques lanzados por los dos grupos registran nuevos dispositivos para evitar MFA y mantener el acceso comprometido. Pero no sin antes eliminar el dispositivo existente. Luego, los actores de amenazas intentan suprimir las notificaciones automáticas por correo electrónico relacionadas con registros de dispositivos no autorizados configurando reglas de la bandeja de entrada que eliminan automáticamente dichos mensajes.
La siguiente etapa se centrará en apuntar a cuentas con altos privilegios mediante una mayor ingeniería social mediante la extracción de directorios internos de empleados. Una vez más, con acceso elevado, el atacante puede comprometer el entorno SaaS objetivo, buscar archivos de alto valor e informes críticos para el negocio en Google Workspace, HubSpot, Microsoft SharePoint y Salesforce, y luego filtrar los datos específicos a la infraestructura bajo su control.
«En la mayoría de los casos observados, estas credenciales otorgan acceso al proveedor de identidad (IdP) de una organización y proporcionan un único punto de entrada a múltiples aplicaciones SaaS», dijo CrowdStrike. «Al explotar la relación de confianza entre un IdP y los servicios conectados, los atacantes evitan la necesidad de comprometer aplicaciones SaaS individuales y, en cambio, se mueven lateralmente a través de todo el ecosistema SaaS de la víctima en una única sesión autenticada».
Source link
