З жовтня минулого року дослідники відстежують дві окремі хакерські групи – Cordial spider та Snarky spider, які ведуть агресивні кампанії з викрадення даних. Ці групи діють майже виключно у довірених SaaS-середовищах – SharePoint, HubSpot та Google Workspace – щоб прискорити час від моменту першого доступу до крадіжки даних. Зловмисники розпочинають атаку з цільового голосового фішингу: вони телефонують жертвам, видаючи себе за ІТ-підтримку компанії, і під виглядом термінових оновлень безпеки або проблем з акаунтом спрямовують співробітника на підроблену сторінку входу в корпоративний портал. AiTM – метод, коли хакерський сервер стоїть «між» жертвою та справжнім сайтом і перехоплює сесійні токени та паролі в режимі реального часу, причому жертва не помічає нічого підозрілого.

Отримавши початковий доступ, зловмисники одразу закріплюються: видаляють наявні пристрої для багатофакторної автентифікації жертви і реєструють власні. Snarky spider майже виключно реєструє Android-емулятори Genymobile, Cordial spider використовує ширший набір пристроїв, зокрема Windows Quick Emulators. Обидві групи систематично видаляють автоматичні листи безпеки з поштової скриньки жертви – зокрема, налаштовують правила фільтрації на слова «alert», «incident», «MFA» – щоб приховати реєстрацію стороннього пристрою. SNARKY SPIDER розпочинає ексфільтрацію даних менш ніж за годину після отримання доступу.