Les chercheurs en cybersécurité tirent la sonnette d'alarme concernant deux groupes cybercriminels menant des "attaques rapides et à fort impact" presque entièrement au sein des environnements SaaS, laissant des traces minimales. Ces groupes, **Cordial Spider** (également connu sous les noms de BlackFile, CL-CRI-1116, O-UNC-045 et UNC6671) et **Snarky Spider** (également connu sous les noms de O-UNC-025 et UNC6661), sont connus pour leurs campagnes de vol de données et d'extorsion à haute vitesse avec des schémas opérationnels similaires. Les deux groupes sont actifs depuis au moins octobre 2025, **Snarky Spider**, une équipe anglophone native, étant liée à l'écosystème d'e-criminalité connu sous le nom de The Com. ### Attaques par Vishing et AiTM Selon un rapport des opérations contre les adversaires de **CrowdStrike**, "Dans la plupart des cas, ces adversaires utilisent le phishing vocal (vishing) pour diriger les utilisateurs ciblés vers des pages malveillantes par l'homme du milieu (AiTM) sur le thème du SSO, où ils capturent les données d'authentification et pivotent directement vers des applications SaaS intégrées au SSO." "En opérant presque exclusivement au sein d'environnements SaaS de confiance, ils minimisent leur empreinte tout en accélérant le temps d'impact. La combinaison de la vitesse, de la précision et de l'activité exclusive aux SaaS crée des défis importants en matière de détection et de visibilité pour les défenseurs." ### Liens avec ShinyHunters Un rapport de janvier 2026 de **Mandiant**, propriété de **Google**, a révélé que ces clusters représentent une expansion de l'activité de menace cohérente avec les attaques d'extorsion du groupe **ShinyHunters**. Cela inclut l'usurpation d'identité du personnel informatique pour tromper les victimes et leur faire fournir des identifiants et des codes d'authentification multifacteur (MFA) via des pages de phishing.  _Snarky Spider commence l'exfiltration en moins d'une heure_ ### Ciblage du Commerce de Détail et de l'Hôtellerie La semaine dernière, **Palo Alto Networks** Unit 42 et le Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) ont estimé que les attaquants derrière CL-CRI-1116 sont probablement associés à The Com. Ces intrusions utilisent principalement des techniques de "living-off-the-land" (LotL) et des proxys résidentiels pour dissimuler leur emplacement et contourner les filtres de réputation basés sur IP. Les chercheurs Lee Clark, Matt Brady et Cuong Dinh ont déclaré : "L'activité de CL-CRI-1116 cible activement le secteur du commerce de détail et de l'hôtellerie depuis février 2026, exploitant spécifiquement les attaques par vishing en se faisant passer pour du personnel du service d'assistance informatique, en combinaison avec des sites de connexion par phishing pour voler des identifiants." ### Contournement de la MFA et Ciblage des Comptes à Privilèges Élevés Les groupes enregistrent de nouveaux appareils pour contourner la MFA, en supprimant les appareils existants au préalable, et suppriment les notifications par e-mail automatisées liées à l'enregistrement d'appareils non autorisés en configurant des règles de boîte de réception pour supprimer ces messages. L'étape suivante consiste à cibler les comptes à privilèges élevés par le biais de l'ingénierie sociale, en parcourant les annuaires internes des employés. Une fois qu'ils obtiennent un accès élevé, les adversaires ciblent les environnements SaaS pour trouver des fichiers de grande valeur et des rapports critiques pour l'entreprise dans **Google Workspace**, **HubSpot**, **Microsoft SharePoint** et **Salesforce**, en exfiltrant les données vers leur infrastructure. ### Abus des Relations de Confiance "Dans la plupart des cas observés, ces identifiants accordent l'accès au fournisseur d'identité (IdP) de l'organisation, offrant un point d'entrée unique vers plusieurs applications SaaS", a déclaré **CrowdStrike**. "En abusant de la relation de confiance entre l'IdP et les services connectés, les adversaires évitent de devoir compromettre des applications SaaS individuelles et se déplacent latéralement dans l'ensemble de l'écosystème SaaS de la victime avec une seule session authentifiée."