Una campaña generalizada de robo de datos ha permitido a los piratas informáticos que violan la plataforma de automatización de ventas Salesf Robar OAuth y renovar tokens asociados con el agente de chat de inteligencia industrial (IA) de deriva.
La actividad, evaluada como de naturaleza oportunista, se ha atribuido a un actor de amenazas rastreado por Google Amenazing Intelligence Group (GTIG) y Mandiant, rastreado como UNC6395. GTIG le dijo a The Hacker News que es consciente de más de 700 organizaciones potencialmente afectadas.
«A partir del 8 de agosto de 2025, hasta al menos el 18 de agosto de 2025, el actor apuntó a las instancias de los clientes de Salesforce a través de tokens OAuth comprometidos asociados con la aplicación de terceros de SalesLoft Drift», dijeron los investigadores Austin Larsen, Matt Lin, Tyler McLellan y Omar Elahdan.
En estos ataques, se ha observado que los actores de amenaza exportan grandes volúmenes de datos de numerosas instancias de la fuerza de ventas corporativas, con el probable objetivo de cosechar credenciales que podrían estar de moda para comprometer los entornos de las víctimas. Estos incluyen claves de entrada de Amazon Web Services (AWS) (AKIA), contraseñas y tokens de entrada relacionados con el copo de cocaína.
UNC6395 además ha demostrado la conciencia de seguridad operativa al eliminar los trabajos de consulta, aunque Google insta a las organizaciones a revisar los registros relevantes para la evidencia de la exposición a los datos, anejo con revocar las claves API, las credenciales rotativas y realizar una investigación adicional para determinar el envergadura del compromiso.
Salesloft, en un aviso emitido el 20 de agosto de 2025, dijo que identificó un problema de seguridad en la solicitud de deriva y que ha revocado de modo proactiva las conexiones entre Drift y Salesforce. El incidente no afecta a los clientes que no se integran con Salesforce.
«Un actor de amenaza utilizó credenciales de OAuth para exfiltrar datos de las instancias de Salesforce de nuestros clientes», dijo Salesloft. «El actor de amenaza ejecutó consultas para recuperar la información asociada con varios objetos de Salesforce, incluidos casos, cuentas, usuarios y oportunidades».
La compañía además recomienda que los administradores vuelvan a autenticar su conexión de Salesforce para retornar a habilitar la integración. Se desconoce la escalera exacta de la actividad. Sin incautación, Salesloft dijo que ha notificado a todas las partes afectadas.
En un comunicado el martes, Salesforce dijo que un «pequeño número de clientes» se vio afectado, afirmando que el problema proviene de un «compromiso de la conexión de la aplicación».
«Al detectar la actividad, SalesLoft, en colaboración con Salesforce, entrada activo invalidado y renovar tokens, y eliminó la deriva de AppExchange. Luego notificamos a los clientes afectados», agregó Salesforce.
El explicación se produce a medida que las instancias de Salesforce se han convertido en un objetivo activo para grupos de amenazas motivados financieramente como UNC6040 y UNC6240 (además conocido como Shinyhunters), este final de los cuales desde entonces se ha unido a las manos con una araña dispersa (además conocida como UNC3944) para apoyar el entrada original.
Austin Larsen, analista principal de amenazas en GTIG, dijo que UNC6395 es un nuevo clúster emergente, y agrega «No hemos observado ninguna evidencia convincente que los conecte a otros grupos en este momento».
«Lo más extraordinario de los ataques de UNC6395 es tanto la escalera como la disciplina», dijo Cory Michal, CSO de Appomni. «Este no fue un compromiso único; cientos de inquilinos de Salesforce de organizaciones específicas de interés fueron atacados utilizando tokens OAuth robados, y el atacante consultó y exportó metódicamente datos en muchos entornos».
«Demostraron un suspensión nivel de disciplina operativa, ejecutando consultas estructuradas, buscando específicamente las credenciales e incluso intentando cubrir sus pistas eliminando los trabajos. La combinación de escalera, enfoque y tradicionalidad hace que esta campaña se destaque».
Michal además señaló que muchas de las organizaciones específicas y comprometidas eran compañías de seguridad y tecnología, lo que indica que la campaña puede ser un «movimiento de comprensión» como parte de una organización de ataque de condena de suministro más amplia.
«Al infiltrar primero a los proveedores y proveedores de servicios, los atacantes se pusieron en posición de pivotar en clientes y socios aguas debajo», agregó Michal. «Eso hace que este no solo sea un compromiso apartado de SaaS, sino potencialmente la cojín de una campaña mucho más alto destinada a explotar las relaciones de confianza que existen en la condena de suministro de la tecnología».
Poner al día
Saleloft, en una alerta de seguimiento, dijo que ha contratado los servicios de Mandiant y Coalition para investigar la violación y para proveer los esfuerzos de contención y remediación. Además está instando a los clientes de Drift a renovar sus claves API para cada integración de deriva conectada.
«Recomendamos que todos los clientes de deriva que administran sus propias conexiones de deriva con aplicaciones de terceros a través de la esencia API, revocen proactivamente la esencia existente y se vuelvan a conectar utilizando una nueva esencia API para estas aplicaciones», dijo. «Esto solo se relaciona con las integraciones de deriva basadas en la esencia API. Salesloft está manejando las aplicaciones OAUTH directamente».
(La historia se actualizó luego de la publicación para incluir una respuesta de GTIG/Mandiant y el final aviso de Salesloft).
