Deux nouveaux groupes d'extorsion adoptent la stratégie de Scattered Spider

Des groupes cybercriminels affiliés à The Com multiplient les attaques

Deux nouveaux groupes d'extorsion, Cordial Spider et Snarky Spider, ciblent activement des organisations dans des secteurs critiques pour des attaques de vol de données et d'extorsion, selon le rapport de CrowdStrike publié ce jeudi. Ces acteurs, motivés par des gains financiers, utilisent des techniques de phishing vocal et d'ingénierie sociale pour infiltrer les plateformes d'identité des victimes et naviguer dans les environnements SaaS depuis au moins octobre 2025.

Des cibles variées et des méthodes sophistiquées

Adam Meyers, vice-président senior des opérations de contre-adversité chez CrowdStrike, indique que ces sous-groupes, composés principalement de locuteurs natifs anglophones, visent des organisations basées aux États-Unis dans les secteurs de l'éducation, de l'aviation, du commerce de détail, de l'hôtellerie, de l'automobile, des services financiers, du juridique et de la technologie. Ces attaques, difficiles à quantifier en raison de leur impact sur les systèmes d'identité et les services connectés, s'inscrivent dans une nouvelle vague de cybermenaces criminelles.

Les chercheurs soulignent que ces groupes, étroitement liés à Scattered Spider et à d'autres sous-ensembles de The Com comme SLSH et ShinyHunters, utilisent des leurres via des appels vocaux, des SMS et des e-mails pour rediriger les employés vers des pages de phishing imitant les portails de connexion unifiée ou les fournisseurs d'identité primaires de leur employeur. Ces pages capturent les identifiants, les clés de session ou les tokens, offrant aux attaquants un accès initial aux systèmes, qu'ils exploitent ensuite pour une infiltration généralisée dans les écosystèmes SaaS des victimes.

Des tactiques distinctes mais des objectifs similaires

Bien que les campagnes de vol de données et d'extorsion présentent des similitudes frappantes, CrowdStrike précise que les tactiques, techniques et procédures de chaque sous-groupe diffèrent. Ces variations incluent les heures d'activité, les fournisseurs de domaines de phishing, les systèmes d'exploitation préférés, les sites de fuite de données et les outils utilisés pour enregistrer l'authentification multifactorielle. Le domaine de BlackFile, le site de fuite de données de Cordial Spider, était hors ligne mercredi, selon Meyers.

CrowdStrike n'a pas communiqué de fourchette pour les demandes de rançon de ces groupes, mais Unit 42 avait précédemment indiqué que Cordial Spider, également suivi sous les noms CL-CRI-1116 et UNC6671, exigeait généralement des montants à sept chiffres. Certaines victimes ayant refusé de payer ont subi des attaques par déni de service distribué (DDoS), tandis que Snarky Spider a recours à des tactiques de harcèlement plus agressives, comme le swatting des employés des organisations ciblées.

Des réseaux de proxys résidentiels pour échapper à la détection

Pour contourner les systèmes de détection basés sur les adresses IP, Cordial Spider et Snarky Spider exploitent des réseaux de proxys résidentiels, notamment Mullvad, Oxylabs, NetNut, 9Proxy, Infatica et NSOCKS. Bien que ces réseaux puissent avoir des usages légitimes, les chercheurs alertent depuis longtemps sur leur utilisation abusive par des acteurs malveillants pour masquer leurs activités criminelles.

Un contexte alarmant dans le paysage des cybermenaces

Cet avertissement de CrowdStrike fait suite à des recherches partagées la semaine dernière par Palo Alto Networks' Unit 42 et le Retail Hospitality Information Sharing and Analysis Center, qui ont documenté une série d'attaques de Cordial Spider ciblant notamment les secteurs du commerce de détail et de l'hôtellerie. Ces incidents illustrent l'évolution constante des tactiques des cybercriminels et la nécessité pour les organisations de renforcer leurs défenses contre ces menaces en constante mutation.