Los investigadores de ciberseguridad advierten sobre dos grupos de ciberdelincuentes que están llevando a cabo «ataques rápidos y de alto impacto» que operan casi dentro de los límites de los entornos SaaS, dejando mínimos rastros de sus acciones.
Los racimos, Araña cordial (también conocido como BlackFile, CL-CRI-1116, O-UNC-045 y UNC6671) y Araña sarcástica (también conocidos como O-UNC-025 y UNC6661), se han atribuido a campañas de extorsión y robo de datos de alta velocidad que comparten un grado notable de similitudes operativas. Se estima que ambos grupos de piratas informáticos están activos desde al menos octubre de 2025, y este último es un equipo nativo de habla inglesa que comparte vínculos con el ecosistema de delitos electrónicos conocido como The Com.
«En la mayoría de los casos, estos adversarios utilizan el phishing de voz (vishing) para dirigir a los usuarios específicos a páginas maliciosas de adversario en el medio (AiTM) con temática de SSO, donde capturan datos de autenticación y pivotan directamente hacia aplicaciones SaaS integradas con SSO», dijo Counter Adversary Operations de CrowdStrike en un informe.
«Al operar casi exclusivamente dentro de entornos SaaS confiables, minimizan su huella y aceleran el tiempo de impacto. La combinación de velocidad, precisión y actividad exclusivamente SaaS crea importantes desafíos de detección y visibilidad para los defensores».
En un informe publicado en enero de 2026, Mandiant, propiedad de Google, reveló que los dos grupos representan una expansión en la actividad de amenazas que emplea tácticas consistentes con ataques con temas de extorsión llevados a cabo por el grupo ShinyHunters. Esto implica hacerse pasar por personal de TI en llamadas para engañar a las víctimas y obtener sus credenciales y códigos de autenticación multifactor (MFA) dirigiéndolas a páginas de phishing.
 |
| Snarky Spider comienza la exfiltración en menos de una hora |
Tan recientemente como la semana pasada, la Unidad 42 de Palo Alto Networks y el Centro de análisis e intercambio de información sobre comercio minorista y hotelería (RH-ISAC) evaluaron con confianza moderada que los atacantes detrás de CL-CRI-1116 probablemente también estén asociados con The Com, y agregaron que las intrusiones se basan principalmente en técnicas de vida fuera de la tierra (LotL), así como también utilizan proxies residenciales para ocultar su ubicación geográfica y eludir los filtros de reputación básicos basados en IP.
«La actividad CL-CRI-1116 se ha dirigido activamente al espacio minorista y hotelero desde febrero de 2026, aprovechando específicamente los ataques de vishing que se hacen pasar por personal de la mesa de ayuda de TI en combinación con sitios de inicio de sesión de phishing para robar credenciales», dijeron los investigadores Lee Clark, Matt Brady y Cuong Dinh.
Se sabe que los ataques montados por los dos grupos registran un nuevo dispositivo para eludir MFA y mantener el acceso comprometido, pero no antes de eliminar los dispositivos existentes, después de lo cual los actores de amenazas actúan para suprimir las notificaciones automáticas por correo electrónico relacionadas con el registro de dispositivos no autorizados configurando reglas de bandeja de entrada que eliminan automáticamente dichos mensajes.
La siguiente etapa implica centrarse en cuentas con altos privilegios mediante una mayor ingeniería social mediante la extracción de directorios internos de empleados. Al volver a tener acceso elevado, los adversarios irrumpen en entornos SaaS objetivo para buscar archivos de alto valor e informes críticos para el negocio en Google Workspace, HubSpot, Microsoft SharePoint y Salesforce, y luego extraen datos de interés a la infraestructura bajo su control.
«En la mayoría de los casos observados, estas credenciales otorgan acceso al proveedor de identidad (IdP) de la organización, proporcionando un único punto de entrada a múltiples aplicaciones SaaS», dijo CrowdStrike. «Al abusar de la relación de confianza entre el IdP y los servicios conectados, los adversarios evitan la necesidad de comprometer aplicaciones SaaS individuales y, en cambio, se mueven lateralmente a través de todo el ecosistema SaaS de la víctima con una única sesión autenticada».
