Según CrowdStrike, un par de grupos de amenazas persistentes y problemáticos afiliados a The Com están apuntando activamente a organizaciones en múltiples sectores de infraestructura crítica para realizar rápidos ataques de extorsión y robo de datos.

Los atacantes con motivación financiera, a los que CrowdStrike rastrea como Cordial Spider y Snarky Spider, han utilizado ataques de phishing de voz e ingeniería social para irrumpir en las plataformas de identidad de las víctimas y atravesar entornos SaaS desde al menos octubre de 2025, dijo la compañía en un informe Jueves, que compartió exclusivamente con CyberScoop antes del lanzamiento.

Adam Meyers, vicepresidente senior de operaciones contra adversarios de CrowdStrike, dijo que los subgrupos compuestos por hablantes nativos de inglés se dirigen principalmente a organizaciones con sede en EE. UU. en los sectores académico, de aviación, minorista, hotelero, automotriz, de servicios financieros, legal y tecnológico.

Esta “nueva ola de actores de amenazas de crímenes electrónicos” está estrechamente alineada con Scattered Spider y vinculada a otros subconjuntos de The Com, incluidos SLSH y ShinyHunters, dijo Meyers.

Debido a que estos ataques apuntan a sistemas de identidad y pueden exponer datos en otros servicios conectados más allá del punto de infracción inicial, es difícil determinar cuántas víctimas han quedado atrapadas en estas campañas.

La advertencia de CrowdStrike sigue de cerca la investigación que la Unidad 42 de Palo Alto Networks y el Centro de análisis e intercambio de información minorista y hotelera compartieron la semana pasada sobre la serie de ataques de Cordial Spider dirigidos a organizaciones de la industria minorista y hotelera, entre otras.

Cordial y Snarky Spider han colocado señuelos a través de llamadas de voz, mensajes de texto y correos electrónicos dirigiendo a los empleados a páginas de phishing que se hacen pasar por la página legítima de inicio de sesión único o el proveedor de identidad principal de su empleador, dijeron los investigadores.

Estas páginas de phishing, que capturan credenciales, claves de sesión o tokens, según el flujo de trabajo, proporcionan a los atacantes un punto de entrada a los sistemas, que explotan para obtener un acceso generalizado a todos los ecosistemas SaaS de las víctimas.

Los atacantes utilizan estos ganchos iniciales para eliminar y establecer dispositivos de autenticación multifactor, luego eliminan correos electrónicos y otras alertas que de otro modo advertirían a las organizaciones sobre una posible actividad maliciosa, dijeron los investigadores.

El robo de datos para campañas de extorsión comparte sorprendentes similitudes, pero CrowdStrike dijo que las tácticas, técnicas y procedimientos para cada subgrupo son distintos. Estas variaciones incluyen horas de operación, diferentes proveedores de dominios de phishing, sistemas operativos preferidos, sitios de fuga de datos y las herramientas o dispositivos que utilizaron para registrarse para la autenticación multifactor.

El dominio de BlackFile, el sitio de filtración de datos de Cordial Spider, estaba desconectado el miércoles, según Meyers.

CrowdStrike se negó a poner un rango a las demandas de extorsión de los grupos, pero la Unidad 42 dijo anteriormente que Cordial Spider, que también se rastrea como CL-CRI-1116 y UNC6671, generalmente se encuentran en el rango de siete cifras.

Algunas víctimas que no pagaron las demandas de extorsión han sido sometidas a ataques DDoS, y Snarky Spider ha utilizado tácticas de acoso posteriores más agresivas, incluido el aplastamiento de los empleados de las organizaciones víctimas, dijo Meyers.

CrowdStrike dijo que Cordial y Snarky Spider también utilizan redes proxy residenciales, incluidas Mullvad, Oxylabs, NetNut, 9Proxy, Infatica y NSOCKS, para evadir la detección basada en IP y mezclarse con el tráfico típico.

Las redes de proxy residenciales, que dependen de direcciones IP asignadas a usuarios domésticos reales, pueden tener un propósito legítimo, pero los investigadores han estado advirtiendo que operadores criminales poco éticos o descarados están abusando de estas redes para construir y respaldar botnets, campañas de delitos cibernéticos, espionaje y otras actividades maliciosas.

Cordial y Snarky Spider no han logrado el impacto o la capacidad técnica de Scattered Spider, pero los grupos comparten muchos puntos en común y objetivos, dijo Meyers.

«Han tomado su libro de jugadas y están usando muchas de sus técnicas, pero realmente no hemos visto la sofisticación técnica demostrada por ellos que vimos en Scattered Spider», dijo. «Es una especie de nueva generación de Scattered Spider».