La Oficina Federal de Investigación de los Estados Unidos (FBI) ha emitido una alerta flash para liberar indicadores de compromiso (COI) asociados con dos grupos cibercriminales rastreados como UNC6040 y UNC6395 para una prisión de robos de datos y ataques de molestia.
«Recientemente se ha observado que los dos grupos se dirigen a las plataformas Salesforce de las organizaciones a través de diferentes mecanismos de golpe auténtico», dijo el FBI.
UNC6395 es un reunión de amenazas que se le ha atribuido una campaña de robo de datos generalizada que se dirige a las instancias de Salesforce en agosto de 2025 al explotar los tokens OAuth comprometidos para la aplicación SalesLoft Drift. En una puesta al día emitida esta semana, Salesloft dijo que el ataque fue posible adecuado a la violación de su cuenta de GitHub desde marzo hasta junio de 2025.
Como resultado de la violación, SalesLoft ha retirado la infraestructura de deriva y ha tomado la aplicación de chatbot de inteligencia industrial (IA) fuera de sarta. La compañía todavía dijo que está en el proceso de implementación de nuevos procesos de autenticación multifactor y medidas de endurecimiento de GitHub.
«Estamos enfocados en el endurecimiento continuo del entorno de aplicación de deriva», dijo la compañía. «Este proceso incluye credenciales de rotación, deshabilitar temporalmente ciertas partes de la aplicación de deriva y blindar las configuraciones de seguridad». «En este momento, estamos aconsejando a todos los clientes de deriva que traten todas y cada una de las integraciones de deriva y los datos relacionados como potencialmente comprometidos».
El segundo reunión al que el FBI ha llamado la atención es UNC6040. Se evalúa que está activo desde octubre de 2024, UNC6040 es el nombre asignado por Google a un clúster de amenazas motivado financieramente que se ha dedicado a las campañas de Vishing para obtener golpe auténtico y secuestro de instancias de Salesforce para robo y molestia de datos a gran escalera.
Estos ataques han involucrado el uso de una interpretación modificada de la aplicación de cargador de datos de Salesforce y los scripts de Python personalizados para violar los portales de Salesforce de las víctimas y exfiltrar datos valiosos. Al menos algunos de los incidentes han involucrado actividades de molestia a posteriori de las intrusiones de UNC6040, y tienen zona meses a posteriori del robo de datos iniciales.
«Los actores de amenaza de UNC6040 han utilizado paneles de phishing, ordenando a las víctimas que visiten desde sus teléfonos móviles o trabajan computadoras durante las llamadas de ingeniería social», dijo el FBI. «Posteriormente de obtener golpe, los actores de amenaza de UNC6040 han utilizado consultas API para exfiltrar grandes volúmenes de datos a abundante».
Google ha atribuido la escalón de molestia a otro clúster sin categoría rastreado como UNC6240, que ha afirmado constantemente ser el reunión Shinyhunters en correos electrónicos y llamados a empleados de organizaciones víctimas.
«Por otra parte, creemos que los actores de amenaza que usan la marca ‘Shinyhunters’ pueden estar preparándose para aumentar sus tácticas de molestia mediante el tirada de un sitio de fuga de datos (DLS)», señaló Google el mes pasado. «Es probable que estas nuevas tácticas tengan la intención de aumentar la presión sobre las víctimas, incluidas las asociadas con las infracciones de datos relacionadas con la fuerza de ventas recientes de UNC6040».
Desde entonces, ha habido una gran cantidad de desarrollos, el más importante es el equipo de Shinyhunters, Spiders Spider y Lapsus $ para consolidar y normalizar sus esfuerzos criminales. Luego, el 12 de septiembre de 2025, el reunión afirmó en su canal Telegram «dispersado Lapsus $ cazadores 4.0» que están cerrando.
«Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Prosx, Pertinax, Kurosh, Clown, Intelbroker, Spiders Spider, Yukari y entre muchos otros, han decidido ir oscurecer», dijo el reunión. «Nuestros objetivos han sido cumplidos, ahora es el momento de opinar adiós».
Actualmente no está claro qué llevó al reunión a colgar sus botas, pero es posible que el movimiento sea un intento de estar bajo y evitar más atención de la aplicación de la ley.
«El recién formado reunión de Lapsus $ Hunters 4.0 dijo que está colgando las botas y» oscurecer «a posteriori de que alegó que la policía francesa arrestó a otra persona equivocada en relación con el reunión de delitos cibernéticos», dijo Sam Rubin, vicepresidente senior de consultoría y inteligencia de amenazas de la Dispositivo 42, a The Hacker News. «Estas declaraciones rara vez señalan una verdadera subsidio».
«Los valentía recientes pueden favor llevado al reunión a estar bajo, pero la historia nos dice que esto a menudo es temporal. Grupos como este astillador, cambio de marca y resurgimiento, al igual que Shinyhunters. Incluso si las operaciones públicas se detienen, los riesgos permanecen: los datos robados pueden resurgir, las puestas no detectadas pueden persistir y los actores pueden retornar a emerger bajo los nuevos nombres. El silencio de un reunión de amenazas no puede ser la igualdad de seguridad. suponiendo que la amenaza no ha desaparecido, solo adaptada «.
