Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Dall'ottobre 2025, CrowdStrike Counter Adversary Operations ha osservato un cambiamento nelle tattiche di intrusione: i threat actor stanno eseguendo attacchi ad alta velocità, SaaS-centrici, che bypassano la tradizionale visibilità sugli endpoint. CORDIAL SPIDER e SNARKY SPIDER esemplificano questa evoluzione in quanto avversari distinti che conducono campagne rapide di furto di dati ed estorsione con sorprendenti somiglianze operative.

CORDIAL SPIDER e SNARKY SPIDER: il nuovo phishing SaaS che aggira MFA e difese endpoint

8 Maggio 2026 15:03
In sintesi

CORDIAL SPIDER e SNARKY SPIDER stanno conducendo attacchi SaaS basati su phishing AiTM e vishing, compromettendo account aziendali tramite pagine SSO fraudolente e furto di token MFA. Dopo l’accesso, gli attaccanti eliminano notifiche di sicurezza, registrano dispositivi MFA controllati e avviano rapidamente l’esfiltrazione di dati da piattaforme come Google Workspace, SharePoint e HubSpot. CrowdStrike evidenzia come questi attacchi aggirino le tradizionali difese endpoint sfruttando direttamente identità cloud e configurazioni SaaS deboli.

Dall’ottobre 2025, CrowdStrike Counter Adversary Operations ha osservato un cambiamento nelle tattiche di intrusione: i threat actor stanno eseguendo attacchi ad alta velocità, SaaS-centrici, che bypassano la tradizionale visibilità sugli endpoint. CORDIAL SPIDER e SNARKY SPIDER esemplificano questa evoluzione in quanto avversari distinti che conducono campagne rapide di furto di dati ed estorsione con sorprendenti somiglianze operative.

Nella maggior parte dei casi, questi avversari utilizzano il voice phishing (vishing) per indirizzare gli utenti target verso pagine malevole a tema SSO di tipo adversary-in-the-middle (AiTM), dove catturano i dati di autenticazione e si muovono direttamente verso le applicazioni SaaS integrate con l’SSO. Operando quasi esclusivamente all’interno di ambienti SaaS fidati, riducono al minimo la propria impronta accelerando al contempo il time to impact. La combinazione di velocità, precisione e attività esclusivamente SaaS crea sfide significative di rilevamento e visibilità per i difensori. Questo blog descrive in dettaglio come operano questi avversari e come CrowdStrike Falcon® Shield identifica e neutralizza i loro attacchi.

In che modo le pagine AiTM consentono l’accesso iniziale

Durante le chiamate di vishing, CORDIAL SPIDER e SNARKY SPIDER impersonano il supporto IT e creano appositamente un’urgenza di intervento, riguardo a problemi dell’account o aggiornamenti di sicurezza, in modo da indirizzare i dipendenti verso pagine AiTM fraudolente. Questi domini imitano fedelmente i portali di login aziendali legittimi (ad esempio, sso[.]com, my[.]com, id[.]com, internal[.]com).

Advertising

Nel momento in cui gli utenti inseriscono le proprie credenziali, gli avversari catturano i dati di autenticazione e i token di sessione attivi in tempo reale. Poiché il proxy AiTM inoltra l’autenticazione al servizio legittimo, gli utenti visualizzano spesso una normale esperienza di login e rimangono ignari della compromissione. Nella maggior parte dei casi osservati queste credenziali garantiscono l’accesso all’identity provider (IdP) dell’azienda, fornendo un singolo punto di ingresso in molteplici applicazioni SaaS. Abusando della relazione di fiducia tra l’IdP e i servizi connessi, gli avversari evitano la necessità di compromettere le singole app SaaS e si muovono invece lateralmente attraverso l’intero ecosistema SaaS della vittima tramite una singola sessione.

Figura 1. Questo rilevamento di Falcon Shield dettaglia un pattern di login sospetto coerente con gli attacchi di phishing AiTM.

Falcon Shield è progettato per rilevare questi tentativi di accesso anomali. Mentre gli avversari tentano di mimetizzarsi con le attività legittime allineando la posizione geografica, l’impronta digitale del dispositivo e l’orario di lavoro, Falcon Shield applica una detection avanzata delle anomalie per far emergere anche deviazioni impercettibili. Combinando una profonda comprensione dei flussi di autenticazione con la visibilità sulle caratteristiche della rete, sui servizi di anonimizzazione e sui metodi di session-clustering, Falcon Shield identifica in modo affidabile i tentativi di accesso malevoli.

Figura 2. Questo rilevamento di Falcon Shield identifica anomalie geografiche quando gli utenti accedono alle piattaforme da posizioni non coerenti con il loro comportamento abituale (baseline).

Persistenza tramite manipolazione dell’MFA

Dopo l’accesso iniziale, CORDIAL SPIDER e SNARKY SPIDER stabiliscono la persistenza registrando sugli account compromessi dei dispositivi di autenticazione a più fattori (MFA) controllati. Ciò consente loro di mantenere l’accesso apparendo come autenticati da un dispositivo validato in precedenza e riduce la necessità di interagire ripetutamente con i fattori MFA legittimi della vittima. In molti casi, gli avversari rimuovono prima i dispositivi MFA esistenti prima di registrare i propri.

Figura 3. Questo rilevamento di Falcon Shield identifica pattern sospetti di registrazione dei dispositivi in cui un singolo dispositivo viene aggiunto a più account.

Nell’eseguire questa tecnica, SNARKY SPIDER registra quasi esclusivamente un emulatore Android Genymobile per l’MFA, che consente di gestire dispositivi Android connessi su sistemi Linux, Windows e macOS. CORDIAL SPIDER, al contrario, ha utilizzato un mix più ampio di dispositivi mobili e un dispositivo Windows Quick Emulator (QEMU) per l’MFA.

In alcuni casi i dispositivi controllati dall’avversario sono stati i primi dispositivi MFA registrati su account preesistenti dove l’MFA non era stato precedentemente abilitato. In altri casi, lo stesso dispositivo MFA è stato registrato su più account compromessi, snellendo ulteriormente l’accesso e la persistenza dell’avversario.

Advertising
Figura 4. Questo rilevamento di Falcon Shield identifica registrazioni MFA sospette provenienti da piattaforme di emulazione Android. Gli attaccanti sfruttano gli ambienti emulati per registrare fattori MFA fraudolenti e mantenere l’accesso persistente.-

Evadere le difese eliminando le notifiche

Immediatamente dopo che hanno effettuato la registrazione di dispositivi MFA, gli avversari procedono a sopprimere gli indicatori di compromissione (IOC) visibili all’utente. Si intende con questo ad esempio l’eliminazione delle email di sicurezza che normalmente notificano automaticamente agli utenti attività sospette, in modo da impedire che la registrazione non autorizzata del dispositivo venga intercettata e ciò favorisce quindi successive attività malevole.

SNARKY SPIDER elimina sistematicamente le comunicazioni relative alla sicurezza. L’avversario infatti crea apposite regole di posta in arrivo, per far si che vengano eliminati automaticamente i messaggi in arrivo contenenti parole chiave come “alert”, “incident”, “MFA” e altri termini di sicurezza in modo da filtrare le notifiche di sicurezza prima che raggiungano l’utente. Rimuovendo questi segnali alla fonte, l’avversario riduce la probabilità di essere rilevato e può prolungare l’accesso non autorizzato.

Figura 5. Questo rilevamento di Falcon Shield identifica l’eliminazione manuale di email relative alla sicurezza da parte di utenti la cui attività proviene da ASN segnalati. Questo comportamento indica tipicamente attività di pulizia post-compromissione, distruzione di prove da parte di minacce interne (insider threat) o attori malevoli che coprono le tracce di esfiltrazione dei dati.
Figura 6. Questo rilevamento identifica pattern di regole della posta in arrivo sospette comunemente utilizzati dai threat actor per eludere il rilevamento o mantenere la persistenza sugli account compromessi.

Discovery mirata: identificazione di dati SaaS ad alto valore

CORDIAL SPIDER e SNARKY SPIDER conducono ricerche mirate sulle piattaforme SaaS per identificare dati sensibili ad alto valore. Le query di ricerca osservate includono termini come “confidential”, “SSN”, “contracts” e “VPN”, e ciò denota un focus su documenti aziendali critici, comunicazioni interne, materiali proof-of-concept e credenziali di accesso all’infrastruttura. Questo approccio basato sulla ricerca consente agli avversari di dare rapidamente priorità ai contenuti sensibili e accelerare la progressione dall’accesso iniziale all’esfiltrazione dei dati.

Figura 7. Questo rilevamento di Falcon Shield identifica utenti che conducono ricerche mirate per termini sensibili. Questo comportamento è spesso associato ad attività di ricognizione o discovery dei dati.
Figura 8. Questo rilevamento di Falcon Shield identifica utenti che hanno eseguito ricerche di contenuti sensibili a seguito di un login anomalo. Questo comportamento è spesso associato ad attività di ricognizione o discovery dei dati.

Esfiltrazione ad alto volume negli ambienti SaaS

Figura 9. SNARKY SPIDER inizia l’esfiltrazione in meno di un’ora.

L’obiettivo principale sia di CORDIAL SPIDER che di SNARKY SPIDER è l’esfiltrazione di dati su larga scala attraverso piattaforme SaaS, tra cui SharePoint, HubSpot, Google Workspace e altre. Una volta stabilito l’accesso, essi si muovono rapidamente per aggregare e scaricare diversi set di dati da tutti i servizi SaaS accessibili.

Queste compromissioni non sono il risultato di vulnerabilità di sicurezza nelle piattaforme SaaS stesse, ma piuttosto di debolezze nelle configurazioni dei clienti. I problemi comuni includono l’assenza di una MFA che sia efficace contro il phishing e di controlli di accesso in grado di bloccare permessi eccessivi sui dati sensibili. Falcon Shield fornisce una guida completa per identificare e rimediare a queste misconfigurazioni, aiutando le organizzazioni a ridurre l’esposizione e a rafforzare le difese contro gli attacchi focalizzati sul SaaS.

Figura 10. Questo rilevamento di Falcon Shield identifica quando un utente scarica un numero elevato di file mentre è connesso da un indirizzo IP insolito sia per l’utente che per l’organizzazione.
Figura 11. Questo rilevamento di Falcon Shield identifica quando un utente scarica file con un volume o una velocità che devia significativamente dal proprio comportamento abituale stabilito.

L’infrastruttura dietro le campagne

In queste campagne, CrowdStrike ha identificato indicatori di rete legati a servizi VPN commerciali e reti proxy residenziali. A differenza delle VPN tradizionali che instradano il traffico attraverso indirizzi IP di data center, i proxy residenziali sfruttano IP assegnati a reali utenti domestici, facendo apparire l’attività malevola come traffico residenziale legittimo.

CORDIAL SPIDER e SNARKY SPIDER si affidano pesantemente a questi servizi per eludere il rilevamento basato su IP e mimetizzarsi con il normale comportamento degli utenti. I provider osservati includono Mullvad, NetNut, 9Proxy, Infatica e NSOCKS. Le capacità di rilevamento dell’infrastruttura di Falcon Shield consentono ai difensori di identificare e tracciare queste fonti di connessione ad alto rischio, esponendo attività avversarie che altrimenti apparirebbero innocue.

A prova di attacchi moderni: come agisce Falcon Shield

L’emergere delle attività di CORDIAL SPIDER e SNARKY SPIDER evidenzia la presenza di un notevole gap di rilevamento. Mentre molte organizzazioni hanno rafforzato le difese degli endpoint contro l’esfiltrazione dei dati, sono meno quelle che dispongono della visibilità necessaria per rilevare gli avversari che operano all’interno dei livelli IdP e SaaS.

I tre pilastri del rilevamento di Falcon Shield:

  1. Profonda competenza SaaS: Il team di Detection Engineering di Falcon Shield ha sviluppato una profonda conoscenza delle piattaforme SaaS, inclusi i flussi di autenticazione, i comportamenti degli utenti e le entità e configurazioni specifiche delle piattaforme. Questa competenza consente rilevamenti precisi e ad alta fedeltà, personalizzati per ogni applicazione SaaS supportata.
  2. Detection avanzata delle anomalie: Falcon Shield applica una detection delle anomalie avanzata, per distinguere l’attività malevola dall’uso legittimo, utilizzando la sua visibilità sull’intero stack SaaS, potenziata con moduli aggiuntivi della piattaforma CrowdStrike Falcon®. Sfruttando modelli statistici e analisi entity-aware (su utenti, account di servizio, applicazioni OAuth, token API e altro), Falcon Shield valuta ogni azione all’interno del contesto. Ciò include fattori come artefatti di rete, soluzioni di accesso alla rete zero trust, telemetria dei dispositivi e comportamento pregresso tra i provider SaaS.
  3. Network Intelligence di nuova generazione: Falcon Shield va oltre il tradizionale rilevamento basato su IOC identificando e classificando i servizi di anonimizzazione, raggruppando le infrastrutture avversarie e segnalando i server non di livello enterprise utilizzati come punti di accesso. Attraverso la scansione attiva, l’integrazione con i sistemi di reputazione CrowdStrike e l’impegno proattivo contro l’infrastruttura malevola, Falcon Shield fornisce una precisa attribuzione delle attività sospette ai nodi proxy controllati dall’attaccante.

Insieme, questi tre pilastri forniscono un framework di rilevamento robusto e adattabile, riducendo il “rumore” e facendo emergere attività ad alta affidabilità, in tempo reale. Oltre alle sue capacità di rilevamento, Falcon Shield offre il SaaS Security Posture Management (SSPM) per monitorare proattivamente e continuamente identità, controlli di accesso e impostazioni di configurazione. Ciò consente alle organizzazioni di affrontare le debolezze prima che possano essere sfruttate e di dare priorità ai problemi più critici per la risoluzione, rafforzando la postura di sicurezza SaaS complessiva.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Cropped RHC 3d Transp2 1766828557 300x300
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.