Grupos hackers estão intensificando uma nova modalidade de ataque contra empresas que dependem fortemente de aplicações SaaS, combinando engenharia social por telefone, abuso de login corporativo e movimentação dentro de ambientes confiáveis para roubar dados com rapidez e deixar poucos rastros.

Segundo pesquisadores da CrowdStrike, dois grupos identificados como Cordial Spider, também conhecido como BlackFile, CL-CRI-1116, O-UNC-045 e UNC6671, e Snarky Spider, também rastreado como O-UNC-025 e UNC6661, vêm conduzindo campanhas de roubo de dados e extorsão com alto impacto operacional. Ambos estariam ativos desde pelo menos outubro de 2025 e apresentam semelhanças relevantes em suas táticas, técnicas e procedimentos.

A principal característica dessas campanhas é que os ataques ocorrem quase inteiramente dentro de ambientes SaaS legítimos, como Google Workspace, Microsoft SharePoint, Salesforce, HubSpot e outros serviços integrados ao provedor de identidade corporativo. Isso reduz a necessidade de instalação de malware, dificulta a detecção por ferramentas tradicionais e acelera o tempo entre o comprometimento inicial e a exfiltração de dados.

A cadeia de ataque começa com vishing, técnica de phishing por voz em que os hackers se passam por profissionais de suporte, equipe de TI ou help desk. Durante a ligação, a vítima é induzida a acessar uma página falsa com aparência de portal de autenticação SSO. Essas páginas usam técnicas de adversary-in-the-middle, ou AiTM, permitindo capturar credenciais, tokens de sessão e, em alguns casos, códigos de autenticação multifator.

Com esses dados em mãos, os hackers acessam o provedor de identidade da organização, como Okta, Microsoft Entra ID ou outros sistemas de SSO. Esse ponto é crítico porque o IdP funciona como uma porta de entrada única para diversas aplicações corporativas. Ao comprometer uma sessão autenticada, os invasores não precisam explorar separadamente cada aplicação SaaS. Eles abusam da relação de confiança entre o provedor de identidade e os serviços conectados.

Após o acesso inicial, os grupos registram um novo dispositivo na conta comprometida para contornar mecanismos de MFA e manter persistência. Em alguns casos, dispositivos legítimos já cadastrados são removidos, reduzindo a capacidade da vítima de recuperar rapidamente o acesso. Em seguida, os hackers configuram regras na caixa de entrada para apagar automaticamente alertas relacionados ao registro de novos dispositivos ou atividades suspeitas, uma técnica simples, mas eficaz para atrasar a resposta do time de segurança.

A movimentação lateral ocorre dentro do próprio ecossistema SaaS. Os invasores consultam diretórios internos de funcionários, identificam contas privilegiadas e usam novas rodadas de engenharia social para ampliar privilégios. Com acesso elevado, passam a buscar documentos sensíveis, relatórios financeiros, bases comerciais, registros de clientes, informações operacionais e arquivos estratégicos em plataformas corporativas.

A Unit 42, da Palo Alto Networks, e o RH-ISAC avaliaram que o grupo CL-CRI-1116 tem mirado especialmente empresas dos setores de varejo e hotelaria desde fevereiro de 2026. A escolha desses segmentos não é aleatória: são ambientes com grande volume de dados de clientes, operações distribuídas, equipes numerosas e forte dependência de sistemas SaaS para vendas, atendimento, marketing, RH e gestão financeira.

Outro ponto relevante é o uso de técnicas living-off-the-land, nas quais os hackers exploram recursos legítimos do próprio ambiente para executar ações maliciosas. Em vez de implantar ferramentas externas facilmente detectáveis, eles usam funcionalidades nativas de contas, e-mail, autenticação, permissões e armazenamento em nuvem. Também foram observados proxies residenciais para mascarar a origem dos acessos e burlar filtros baseados em reputação de IP.

A Mandiant, do Google, já havia associado essa evolução de atividade a campanhas com características semelhantes às do grupo ShinyHunters, conhecido por operações de extorsão baseadas em roubo de dados. O elo comum está no uso agressivo de engenharia social, foco em credenciais, abuso de MFA e pressão sobre empresas a partir da exposição ou ameaça de divulgação de informações sensíveis.

O impacto para as organizações é significativo. Ataques desse tipo podem resultar em vazamento de dados de clientes, interrupção de operações internas, exposição de informações comerciais, perdas financeiras, danos reputacionais e riscos regulatórios. Como a atividade ocorre dentro de plataformas legítimas, muitas empresas podem não perceber rapidamente que dados estão sendo acessados ou transferidos.

O caso reforça uma tendência maior no cibercrime: a migração de ataques tradicionais baseados em malware para operações centradas em identidade, SaaS e engenharia social. À medida que empresas transferem processos críticos para a nuvem, o controle de identidade passa a ser um dos principais alvos dos hackers. Proteger apenas endpoints e redes já não é suficiente; é necessário monitorar sessões, dispositivos registrados, alterações em MFA, regras de e-mail, acessos anômalos e movimentações entre aplicações SaaS.

Para reduzir o risco, organizações devem fortalecer políticas de MFA resistente a phishing, como chaves FIDO2, revisar privilégios em aplicações SaaS, monitorar alterações em dispositivos confiáveis, auditar regras de caixa de entrada, treinar usuários contra golpes de vishing e implementar detecção comportamental em provedores de identidade e plataformas cloud.