Investigadores de ciberseguridad dan la voz de alarma sobre dos grupos de cibercrimen que llevan a cabo "ataques rápidos y de alto impacto" casi en su totalidad dentro de entornos SaaS, dejando rastros mínimos. Estos grupos, **Cordial Spider** (también conocido como BlackFile, CL-CRI-1116, O-UNC-045 y UNC6671) y **Snarky Spider** (también conocido como O-UNC-025 y UNC6661), son conocidos por sus campañas de robo de datos y extorsión a alta velocidad con patrones operativos similares. Ambos grupos han estado activos desde al menos octubre de 2025, y **Snarky Spider**, un grupo de habla inglesa nativa, está vinculado al ecosistema de e-crime conocido como The Com. ### Ataques Vishing y AiTM Según un informe de Counter Adversary Operations de **CrowdStrike**, "En la mayoría de los casos, estos adversarios utilizan phishing por voz (vishing) para dirigir a los usuarios objetivo a páginas maliciosas de adversary-in-the-middle (AiTM) con temática de SSO, donde capturan datos de autenticación y pivotan directamente a aplicaciones SaaS integradas con SSO". "Al operar casi exclusivamente dentro de entornos SaaS de confianza, minimizan su huella mientras aceleran el tiempo de impacto. La combinación de velocidad, precisión y actividad exclusiva en SaaS crea desafíos significativos de detección y visibilidad para los defensores". ### Vínculos con ShinyHunters Un informe de enero de 2026 de **Mandiant**, propiedad de **Google**, reveló que estos clústeres representan una expansión en la actividad de amenazas consistente con ataques de extorsión del grupo **ShinyHunters**. Esto incluye la suplantación de personal de TI para engañar a las víctimas y que proporcionen credenciales y códigos de autenticación multifactor (MFA) a través de páginas de phishing.  _Snarky Spider inicia la exfiltración en menos de una hora_ ### Ataques a Retail y Hostelería La semana pasada, Unit 42 de **Palo Alto Networks** y el Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) evaluaron que los atacantes detrás de CL-CRI-1116 probablemente están asociados con The Com. Estas intrusiones utilizan principalmente técnicas "living-off-the-land" (LotL) y proxies residenciales para ocultar su ubicación y eludir los filtros de reputación basados en IP. Los investigadores Lee Clark, Matt Brady y Cuong Dinh declararon: "La actividad de CL-CRI-1116 ha estado atacando activamente el sector minorista y de hostelería desde febrero de 2026, aprovechando específicamente ataques vishing que suplantan al personal de soporte técnico de TI en combinación con sitios de inicio de sesión de phishing para robar credenciales". ### Elusión de MFA y Ataques a Cuentas de Alto Privilegio Los grupos registran nuevos dispositivos para eludir la MFA, eliminando previamente los dispositivos existentes, y suprimen las notificaciones de correo electrónico automatizadas relacionadas con el registro de dispositivos no autorizados configurando reglas de bandeja de entrada para eliminar dichos mensajes. El siguiente paso implica atacar cuentas de alto privilegio a través de ingeniería social, extrayendo directorios internos de empleados. Una vez que obtienen acceso elevado, los adversarios atacan entornos SaaS para encontrar archivos de alto valor e informes críticos para el negocio en **Google Workspace**, **HubSpot**, **Microsoft SharePoint** y **Salesforce**, exfiltrando datos a su infraestructura. ### Abuso de Relaciones de Confianza "En la mayoría de los casos observados, estas credenciales otorgan acceso al proveedor de identidad (IdP) de la organización, proporcionando un único punto de entrada a múltiples aplicaciones SaaS", dijo **CrowdStrike**. "Al abusar de la relación de confianza entre el IdP y los servicios conectados, los adversarios evitan la necesidad de comprometer aplicaciones SaaS individuales y, en cambio, se mueven lateralmente por todo el ecosistema SaaS de la víctima con una única sesión autenticada."