Pesquisadores de cibersegurança estão soando o alarme sobre dois grupos de cibercrime que realizam "ataques rápidos e de alto impacto" quase inteiramente dentro de ambientes SaaS, deixando rastros mínimos. Esses grupos, **Cordial Spider** (também conhecido como BlackFile, CL-CRI-1116, O-UNC-045 e UNC6671) e **Snarky Spider** (também conhecido como O-UNC-025 e UNC6661), são conhecidos por campanhas de roubo de dados e extorsão em alta velocidade com padrões operacionais semelhantes. Ambos os grupos estão ativos desde pelo menos outubro de 2025, com o **Snarky Spider**, uma equipe nativa de língua inglesa, ligada ao ecossistema de e-crime conhecido como The Com. ### Ataques de Vishing e AiTM De acordo com um relatório da Counter Adversary Operations da **CrowdStrike**, "Na maioria dos casos, esses adversários usam phishing por voz (vishing) para direcionar usuários visados a páginas maliciosas de adversary-in-the-middle (AiTM) com tema de SSO, onde capturam dados de autenticação e pivotam diretamente para aplicações SaaS integradas a SSO." "Ao operar quase exclusivamente dentro de ambientes SaaS confiáveis, eles minimizam sua pegada enquanto aceleram o tempo de impacto. A combinação de velocidade, precisão e atividade exclusiva de SaaS cria desafios significativos de detecção e visibilidade para os defensores." ### Conexões com ShinyHunters Um relatório de janeiro de 2026 da **Mandiant**, de propriedade do **Google**, revelou que esses clusters representam uma expansão na atividade de ameaças consistente com ataques de extorsão do grupo **ShinyHunters**. Isso inclui se passar por pessoal de TI para enganar vítimas e fazê-las fornecer credenciais e códigos de autenticação multifator (MFA) através de páginas de phishing.  _Snarky Spider inicia a exfiltração em menos de uma hora_ ### Alvo em Varejo e Hospitalidade Na semana passada, a Unit 42 da **Palo Alto Networks** e o Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) avaliaram que os atacantes por trás do CL-CRI-1116 provavelmente estão associados ao The Com. Essas intrusões usam principalmente técnicas living-off-the-land (LotL) e proxies residenciais para ocultar sua localização e contornar filtros de reputação baseados em IP. Os pesquisadores Lee Clark, Matt Brady e Cuong Dinh declararam: "A atividade do CL-CRI-1116 tem visado ativamente o espaço de varejo e hospitalidade desde fevereiro de 2026, utilizando especificamente ataques de vishing que se passam por pessoal de help desk de TI em combinação com sites de login de phishing para roubar credenciais." ### Contornando MFA e Visando Contas de Alto Privilégio Os grupos registram novos dispositivos para contornar MFA, removendo dispositivos existentes com antecedência, e suprimem notificações de e-mail automatizadas relacionadas ao registro de dispositivos não autorizado configurando regras de caixa de entrada para excluir tais mensagens. O próximo passo envolve o direcionamento de contas de alto privilégio por meio de engenharia social, raspando diretórios internos de funcionários. Uma vez que obtêm acesso elevado, os adversários visam ambientes SaaS para encontrar arquivos de alto valor e relatórios críticos para os negócios no **Google Workspace**, **HubSpot**, **Microsoft SharePoint** e **Salesforce**, exfiltrando dados para sua infraestrutura. ### Abusando de Relações de Confiança "Na maioria dos casos observados, essas credenciais concedem acesso ao provedor de identidade (IdP) da organização, fornecendo um único ponto de entrada para múltiplos aplicativos SaaS", disse a **CrowdStrike**. "Ao abusar da relação de confiança entre o IdP e os serviços conectados, os adversários contornam a necessidade de comprometer aplicativos SaaS individuais e, em vez disso, movem-se lateralmente por todo o ecossistema SaaS da vítima com uma única sessão autenticada."