Две группировки — Cordial Spider и Snarky Spider — работают по схеме, которая выглядит до обидного просто: звонок сотруднику, несколько минут разговора, и вся корпоративная SaaS-инфраструктура открыта настежь. Обе группы активны как минимум с октября 2025 года, а в январе 2026-го компания Mandiant (принадлежащая Google) опубликовала доклад, в котором описала масштаб и тактическое сходство этих атак с кампаниями группировки ShinyHunters.
Cordial Spider действует также под именами BlackFile, CL-CRI-1116, O-UNC-045 и UNC6671. С февраля 2026 года она целенаправленно бьёт по розничной торговле и гостиничному бизнесу. Snarky Spider — другие псевдонимы: O-UNC-025, UNC6661 — англоязычная команда, способная начать вывод данных меньше чем за час после первоначального взлома. Обе группировки связаны с e-crime экосистемой под названием «The Com». Эту связь на прошлой неделе подтвердили Palo Alto Networks Unit 42 совместно с RH-ISAC (Retail & Hospitality Information Sharing and Analysis Center).
Атака начинается с телефонного звонка. Злоумышленники представляются сотрудниками IT-службы поддержки и убеждают жертву зайти на фишинговую страницу, стилизованную под корпоративный SSO-портал. Это классический вишинг в связке с AiTM-фишингом (Adversary-in-the-Middle): пользователь вводит логин, пароль и, что самое критичное, код многофакторной аутентификации — прямо в руки атакующим. Никакого вредоносного ПО, никаких эксплойтов.
Чтобы звонок выглядел убедительно, а трафик не вызывал подозрений у систем защиты, атакующие используют резидентные прокси. Такой трафик практически неотличим от легитимного пользовательского. Вдобавок вся активность строится на технике Living-off-the-Land: злоумышленники пользуются штатными инструментами и легитимными сервисами, почти не оставляя следов, которые можно было бы поймать стандартными средствами мониторинга.
Получив один набор учётных данных, группировки не останавливаются. Они выгребают внутренние корпоративные директории и используют собранную информацию для следующего раунда социальной инженерии — уже против сотрудников с расширенными правами доступа. Цель понятна: добраться до Identity Provider (IdP), через который завязана вся SaaS-экосистема компании.
Именно здесь кроется ключевая уязвимость современной корпоративной архитектуры. Команда CrowdStrike Counter Adversary Operations прямо указывает: атакующие злоупотребляют доверием между IdP и подключёнными сервисами, получая через одну аутентифицированную сессию доступ ко всей связанной инфраструктуре. Взламывать каждое приложение по отдельности не нужно — SSO делает это «за них».
Дальше идёт охота за данными в Google Workspace, HubSpot, Microsoft SharePoint и Salesforce. Атакующие ищут ценные файлы и бизнес-критичные отчёты — то, что можно монетизировать через вымогательство. У Snarky Spider на весь цикл от первого звонка до начала эксфильтрации уходит меньше часа. Исследователи Lee Clark, Matt Brady и Cuong Dinh зафиксировали эту скорость как отдельную характеристику группировки.
Для специалистов по безопасности здесь возникает неприятная ситуация: вся вредоносная активность происходит внутри доверенных SaaS-платформ, с легитимными учётными данными, через легитимные сессии. Традиционные индикаторы компрометации почти не работают. Нет вредоносных бинарников, нет аномальных сетевых соединений с очевидно подозрительных IP — только чуть более активный пользователь, который внезапно интересуется сразу несколькими системами.
Практически это означает, что периметровая защита здесь малоэффективна. Резидентные прокси обходят IP-репутационные фильтры, MFA-коды перехватываются в реальном времени через AiTM-страницы, а скорость атаки не оставляет окна для реакции по классическим триггерам. Организациям, работающим в облачной среде, стоит пересмотреть, как они мониторят поведение внутри IdP и что считают нормальным для SSO-сессий — потому что именно там сейчас разворачивается реальная атака.
Изображение носит иллюстративный характер
Cordial Spider действует также под именами BlackFile, CL-CRI-1116, O-UNC-045 и UNC6671. С февраля 2026 года она целенаправленно бьёт по розничной торговле и гостиничному бизнесу. Snarky Spider — другие псевдонимы: O-UNC-025, UNC6661 — англоязычная команда, способная начать вывод данных меньше чем за час после первоначального взлома. Обе группировки связаны с e-crime экосистемой под названием «The Com». Эту связь на прошлой неделе подтвердили Palo Alto Networks Unit 42 совместно с RH-ISAC (Retail & Hospitality Information Sharing and Analysis Center).
Атака начинается с телефонного звонка. Злоумышленники представляются сотрудниками IT-службы поддержки и убеждают жертву зайти на фишинговую страницу, стилизованную под корпоративный SSO-портал. Это классический вишинг в связке с AiTM-фишингом (Adversary-in-the-Middle): пользователь вводит логин, пароль и, что самое критичное, код многофакторной аутентификации — прямо в руки атакующим. Никакого вредоносного ПО, никаких эксплойтов.
Чтобы звонок выглядел убедительно, а трафик не вызывал подозрений у систем защиты, атакующие используют резидентные прокси. Такой трафик практически неотличим от легитимного пользовательского. Вдобавок вся активность строится на технике Living-off-the-Land: злоумышленники пользуются штатными инструментами и легитимными сервисами, почти не оставляя следов, которые можно было бы поймать стандартными средствами мониторинга.
Получив один набор учётных данных, группировки не останавливаются. Они выгребают внутренние корпоративные директории и используют собранную информацию для следующего раунда социальной инженерии — уже против сотрудников с расширенными правами доступа. Цель понятна: добраться до Identity Provider (IdP), через который завязана вся SaaS-экосистема компании.
Именно здесь кроется ключевая уязвимость современной корпоративной архитектуры. Команда CrowdStrike Counter Adversary Operations прямо указывает: атакующие злоупотребляют доверием между IdP и подключёнными сервисами, получая через одну аутентифицированную сессию доступ ко всей связанной инфраструктуре. Взламывать каждое приложение по отдельности не нужно — SSO делает это «за них».
Дальше идёт охота за данными в Google Workspace, HubSpot, Microsoft SharePoint и Salesforce. Атакующие ищут ценные файлы и бизнес-критичные отчёты — то, что можно монетизировать через вымогательство. У Snarky Spider на весь цикл от первого звонка до начала эксфильтрации уходит меньше часа. Исследователи Lee Clark, Matt Brady и Cuong Dinh зафиксировали эту скорость как отдельную характеристику группировки.
Для специалистов по безопасности здесь возникает неприятная ситуация: вся вредоносная активность происходит внутри доверенных SaaS-платформ, с легитимными учётными данными, через легитимные сессии. Традиционные индикаторы компрометации почти не работают. Нет вредоносных бинарников, нет аномальных сетевых соединений с очевидно подозрительных IP — только чуть более активный пользователь, который внезапно интересуется сразу несколькими системами.
Практически это означает, что периметровая защита здесь малоэффективна. Резидентные прокси обходят IP-репутационные фильтры, MFA-коды перехватываются в реальном времени через AiTM-страницы, а скорость атаки не оставляет окна для реакции по классическим триггерам. Организациям, работающим в облачной среде, стоит пересмотреть, как они мониторят поведение внутри IdP и что считают нормальным для SSO-сессий — потому что именно там сейчас разворачивается реальная атака.
