Gruppi di cybercriminali stanno evolvendo le proprie tecniche di attacco utilizzando strumenti automatizzati per sottrarre grandi quantità di dati sensibili, segreti aziendali e informazioni personali da applicazioni SaaS in ambienti cloud. E’ quanto rivelano gli esperti di threat intelligence di Mandiant relativamente a nuove minacce individuate e messe a segno da parte del gruppo di hacker noto come ShinyHunters.
Nei primi mesi del 2026, gli esperti di sicurezza informatica hanno rilevato una significativa espansione delle attività di attacco da parte di questo gruppo, che utilizza tecniche avanzate di vocal phishing (vishing) insieme alla creazione di siti fraudolenti per la raccolta di credenziali, progettati per imitare le aziende prese di mira. In una fase dell’attacco, il threat actor ha nello specifico finto di essere un membro del personale IT per chiamare i dipendenti e indirizzarli a link per la raccolta di credenziali di accesso con il pretesto di aggiornare le loro impostazioni di autenticazione multi-fattore (MFA).
Una volta ottenute le credenziali di accesso degli utenti — come quelle di single sign-on (SSO) — e i codici di autenticazione a più fattori (MFA), gli attaccanti registrano il proprio dispositivo per l’MFA e procedono quindi a colpire applicazioni SaaS basate su cloud. Da qui hanno avviato movimenti laterali attraverso la rete dell’azienda, per esfiltrare dati dalle piattaforme SaaS. Gli attaccanti hanno altresì utilizzato le credenziali ottenute e gli account di posta elettronica compromessi per inviare ulteriori e-mail di phishing a contatti di aziende focalizzati sulle criptovalute.
La tipologia di attacchi ha come scopo l’avvio di attività di estorsione, cercando quindi di esplorare ulteriori canali di guadagno finanziario prendendo di mira anche aziende nel settore delle criptovalute. Mandiant ha specificato che questi nuovi attacchi mostrano come un singolo accesso non protetto può rivelarsi molto pericoloso, in quanto grazie ai nuovi strumenti automatizzati gli attaccanti sono in grado di investigare in automatico il sistema per individuare interi archivi di file ed estrarre grandi quantità di dati sensibili da ambienti cloud compromessi. Massimizzando così il valore dei dati sottratti per quindi diffonderli nelle reti criminali.
Gli analisti sottolineano altresì come in questo caso gli attaccanti non abbiano violato le reti e le piattaforme cloud passando per vulnerabilità di sicurezza, ma sfruttando l’efficacia del social engineering. Quindi, la combinazione di password rubate, ma anche API non protette o configurazioni cloud errate, e di strumenti automatizzati di esplorazione delle risorse in cloud delle organizzazioni mostra come servizi cloud e API, asset sempre più diffusi e cruciali in azienda, rappresentino al contempo un punto debole critico nella postura di cyber sicurezza di un’impresa se non protetti e monitorati in maniera adeguata.
Per garantire una protezione efficace delle infrastrutture cloud è quindi necessario adottare una strategia basata su controlli rigorosi degli accessi ai dispositivi, sull’uso di password robuste e sull’impiego di soluzioni di autenticazione a più fattori (MFA) resistenti al phishing, che escludano metodi meno sicuri come SMS, chiamate telefoniche o e-mail. È inoltre fondamentale implementare un monitoraggio continuo dei comportamenti sospetti, aumentando la visibilità sulle attività legate alle identità digitali, sulle autorizzazioni e sui comportamenti di esportazione nelle applicazioni SaaS. A ciò si aggiungono tecniche di rilevamento dedicate alla registrazione di nuovi dispositivi MFA e alle modifiche nel ciclo di vita dell’autenticazione, nonché l’analisi di eventi di accesso o autorizzazione che si verificano al di fuori dei normali orari di lavoro. Queste misure di sicurezza e di monitoraggio possono rivelarsi preziose per impedire che un attaccante, una volta violato il sistema aziendale, possa operare indisturbato e procedere all’esfiltrazione di informazioni, al fine di arrecare il maggior danno possibile sottraendo massicce quantità di dati a scopo di estorsione.