Cybersicherheitsforscher schlagen Alarm wegen zweier Cyberkriminellen-Gruppen, die „schnelle, wirkungsvolle Angriffe“ fast ausschließlich innerhalb von SaaS-Umgebungen durchführen und dabei minimale Spuren hinterlassen. Diese Gruppen, **Cordial Spider** (auch bekannt als BlackFile, CL-CRI-1116, O-UNC-045 und UNC6671) und **Snarky Spider** (auch bekannt als O-UNC-025 und UNC6661), sind bekannt für ihre schnellen Datendiebstahl- und Erpressungskampagnen mit ähnlichen operativen Mustern. Beide Gruppen sind seit mindestens Oktober 2025 aktiv, wobei **Snarky Spider**, eine englischsprachige Crew, mit dem E-Crime-Ökosystem namens The Com in Verbindung gebracht wird. ### Vishing- und AiTM-Angriffe Laut einem Bericht von **CrowdStrike**s Counter Adversary Operations „nutzen diese Angreifer in den meisten Fällen Voice Phishing (Vishing), um gezielte Benutzer auf bösartige, SSO-thematisierte Adversary-in-the-Middle (AiTM)-Seiten zu leiten, wo sie Authentifizierungsdaten erfassen und direkt in SSO-integrierte SaaS-Anwendungen übergehen.“ „Indem sie fast ausschließlich innerhalb vertrauenswürdiger SaaS-Umgebungen agieren, minimieren sie ihre Präsenz und beschleunigen die Zeit bis zum Wirkungseintritt. Die Kombination aus Geschwindigkeit, Präzision und reiner SaaS-Aktivität stellt erhebliche Erkennungs- und Sichtbarkeitsherausforderungen für Verteidiger dar.“ ### Verbindungen zu ShinyHunters Ein Bericht von **Google**-eigenem **Mandiant** aus dem Januar 2026 ergab, dass diese Cluster eine Ausweitung der Bedrohungsaktivitäten darstellen, die mit Erpressungsangriffen der **ShinyHunters**-Gruppe übereinstimmen. Dies beinhaltet die Nachahmung von IT-Mitarbeitern, um Opfer dazu zu bringen, Anmeldedaten und Multi-Faktor-Authentifizierungs-Codes (MFA) über Phishing-Seiten preiszugeben.  _Snarky Spider beginnt die Exfiltration in weniger als einer Stunde_ ### Ziel: Einzelhandel und Gastgewerbe Letzte Woche stellten **Palo Alto Networks** Unit 42 und das Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) fest, dass die Angreifer hinter CL-CRI-1116 wahrscheinlich mit The Com assoziiert sind. Diese Eindringlinge nutzen hauptsächlich „Living-off-the-Land“-Techniken (LotL) und Residential Proxies, um ihren Standort zu verschleiern und IP-basierte Reputationsfilter zu umgehen. Die Forscher Lee Clark, Matt Brady und Cuong Dinh erklärten: „Die Aktivitäten von CL-CRI-1116 zielen seit Februar 2026 aktiv auf den Einzelhandels- und Gastgewerbesektor ab, wobei Vishing-Angriffe, die IT-Helpdesk-Personal nachahmen, in Kombination mit Phishing-Login-Seiten eingesetzt werden, um Anmeldedaten zu stehlen.“ ### Umgehung von MFA und Zielsetzung von Hochprivilegierten Konten Die Gruppen registrieren neue Geräte, um MFA zu umgehen, indem sie zuvor vorhandene Geräte entfernen, und unterdrücken automatisierte E-Mail-Benachrichtigungen bezüglich nicht autorisierter Geräteregistrierungen, indem sie Posteingangsregeln konfigurieren, um solche Nachrichten zu löschen. Der nächste Schritt beinhaltet die gezielte Ansprache von hochprivilegierten Konten durch Social Engineering, wobei interne Mitarbeiterverzeichnisse durchsucht werden. Sobald sie erhöhten Zugriff erlangt haben, zielen die Angreifer auf SaaS-Umgebungen ab, um hochwertige Dateien und geschäftskritische Berichte in **Google Workspace**, **HubSpot**, **Microsoft SharePoint** und **Salesforce** zu finden und Daten in ihre Infrastruktur zu exfiltrieren. ### Missbrauch von Vertrauensbeziehungen „In den meisten beobachteten Fällen gewähren diese Anmeldedaten Zugriff auf den Identitätsanbieter (IdP) der Organisation und bieten einen einzigen Eintrittspunkt in mehrere SaaS-Anwendungen“, sagte **CrowdStrike**. „Durch den Missbrauch der Vertrauensbeziehung zwischen dem IdP und verbundenen Diensten umgehen die Angreifer die Notwendigkeit, einzelne SaaS-Apps zu kompromittieren, und bewegen sich stattdessen mit einer einzigen authentifizierten Sitzung lateral durch das gesamte SaaS-Ökosystem des Opfers.“