Onderzoekers op het gebied van cyberbeveiliging waarschuwen voor twee cybercriminaliteitsgroepen die ‘snelle, krachtige aanvallen’ uitvoeren die bijna binnen de grenzen van SaaS-omgevingen opereren, terwijl ze minimale sporen van hun acties achterlaten.
De clusters, Hartelijke Spin (ook bekend als BlackFile, CL-CRI-1116, O-UNC-045 en UNC6671) en Snoezige Spin (ook wel O-UNC-025 en UNC6661 genoemd) worden toegeschreven aan snelle gegevensdiefstal- en afpersingscampagnes die een opmerkelijke mate van operationele overeenkomsten vertonen. Er wordt aangenomen dat beide hackgroepen actief zijn sinds ten minste oktober 2025, waarbij de laatste een Engelssprekende ploeg is die banden deelt met het e-crime-ecosysteem dat bekend staat als The Com.
“In de meeste gevallen gebruiken deze kwaadwillenden voice phishing (vishing) om gerichte gebruikers naar kwaadaardige, SSO-thema-adversary-in-the-middle (AiTM)-pagina’s te leiden, waar ze authenticatiegegevens vastleggen en rechtstreeks naar SSO-geïntegreerde SaaS-applicaties draaien”, aldus CrowdStrike’s Counter Adversary Operations in een rapport.
“Door vrijwel uitsluitend binnen vertrouwde SaaS-omgevingen te opereren, minimaliseren ze hun footprint en versnellen ze de tijd tot impact. De combinatie van snelheid, precisie en SaaS-only-activiteit zorgt voor aanzienlijke detectie- en zichtbaarheidsuitdagingen voor verdedigers.”
In een rapport dat in januari 2026 werd gepubliceerd, onthulde Mandiant, eigendom van Google, dat de twee clusters een uitbreiding van de dreigingsactiviteit vertegenwoordigen die tactieken gebruikt die consistent zijn met afpersingsthema-aanvallen uitgevoerd door de ShinyHunters-groep. Dit omvat het nabootsen van IT-personeel bij oproepen om slachtoffers te misleiden en hun inloggegevens en multi-factor authenticatiecodes (MFA) te verkrijgen door hen naar phishing-pagina’s te leiden.
Afgelopen week hebben Palo Alto Networks Unit 42 en Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) met gematigd vertrouwen geoordeeld dat de aanvallers achter CL-CRI-1116 hoogstwaarschijnlijk ook in verband worden gebracht met The Com, eraan toevoegend dat de inbraken voornamelijk berusten op ‘living-off-the-land’ (LotL)-technieken, en gebruik maken van residentiële proxy’s om hun geografische locatie te verbergen en basis-IP-gebaseerde reputatiefilters te omzeilen.
“CL-CRI-1116-activiteit is sinds februari 2026 actief gericht op de detailhandel en horeca, waarbij met name gebruik wordt gemaakt van vishing-aanvallen waarbij IT-helpdeskpersoneel wordt nagebootst in combinatie met phishing-inlogsites om inloggegevens te stelen”, aldus onderzoekers Lee Clark, Matt Brady en Cuong Dinh.
Het is bekend dat aanvallen van de twee groepen een nieuw apparaat registreren om MFA te omzeilen en toegang te behouden tot gecompromitteerde toegang – maar niet voordat bestaande apparaten worden verwijderd – waarna de bedreigingsactoren overgaan tot het onderdrukken van geautomatiseerde e-mailmeldingen met betrekking tot ongeautoriseerde apparaatregistratie door inboxregels te configureren die dergelijke berichten automatisch verwijderen.
De volgende fase houdt in dat we ons gaan richten op accounts met hoge privileges via verdere social engineering door interne werknemersgidsen te schrappen. Bij opnieuw verhoogde toegang breken de kwaadwillenden in de doel-SaaS-omgevingen in om te zoeken naar hoogwaardige bestanden en bedrijfskritische rapporten in Google Workspace, HubSpot, Microsoft SharePoint en Salesforce, en exfiltreren vervolgens gegevens die van belang zijn voor de infrastructuur die onder hun controle staat.
“In de meeste waargenomen gevallen geven deze inloggegevens toegang tot de identiteitsprovider (IdP) van de organisatie, waardoor er één toegangspunt ontstaat voor meerdere SaaS-applicaties”, aldus CrowdStrike. “Door misbruik te maken van de vertrouwensrelatie tussen de IdP en verbonden diensten, omzeilen de tegenstanders de noodzaak om individuele SaaS-apps te compromitteren en in plaats daarvan zich lateraal door het gehele SaaS-ecosysteem van het slachtoffer te verplaatsen met een enkele geauthenticeerde sessie.”
