La Oficina Federal de Investigación de los Estados Unidos (FBI) ha emitido una alerta flash para liberar indicadores de compromiso (COI) asociados con dos grupos cibercriminales rastreados como UNC6040 y UNC6395 para una esclavitud de robos de datos y ataques de perturbación.
“Recientemente se ha observado que entreambos grupos se dirigen a las plataformas Salesforce de las organizaciones a través de diferentes mecanismos de entrada auténtico”, dijo el FBI.
UNC6395 es un comunidad de amenazas que se le ha atribuido una campaña de robo de datos generalizada que se dirige a las instancias de Salesforce en agosto de 2025 al explotar los tokens OAuth comprometidos para la aplicación SalesLoft Drift. En una aggiornamento emitida esta semana, Salesloft dijo que el ataque fue posible conveniente a la violación de su cuenta de GitHub desde marzo hasta junio de 2025.
Como resultado de la violación, SalesLoft ha incidental la infraestructura de deriva y ha tomado la aplicación de chatbot de inteligencia químico (IA) fuera de hilera. La compañía todavía dijo que está en el proceso de implementación de nuevos procesos de autenticación multifactor y medidas de endurecimiento de GitHub.
“Estamos enfocados en el endurecimiento continuo del entorno de aplicación de deriva”, dijo la compañía. “Este proceso incluye credenciales de rotación, deshabilitar temporalmente ciertas partes de la aplicación de deriva y vigorizar las configuraciones de seguridad”. “En este momento, estamos aconsejando a todos los clientes de deriva que traten todas y cada una de las integraciones de deriva y los datos relacionados como potencialmente comprometidos”.
El segundo comunidad al que el FBI ha llamado la atención es UNC6040. Se evalúa que está activo desde octubre de 2024, UNC6040 es el nombre asignado por Google a un clúster de amenazas motivado financieramente que se ha dedicado a las campañas de Vishing para obtener entrada auténtico y secuestro de instancias de Salesforce para robo y perturbación de datos a gran escalera.
Estos ataques han involucrado el uso de una interpretación modificada de la aplicación de cargador de datos de Salesforce y los scripts de Python personalizados para violar los portales de Salesforce de las víctimas y exfiltrar datos valiosos. Al menos algunos de los incidentes han involucrado actividades de perturbación posteriormente de las intrusiones de UNC6040, y tienen punto meses posteriormente del robo de datos iniciales.
“Los actores de amenaza de UNC6040 han utilizado paneles de phishing, ordenando a las víctimas que visiten desde sus teléfonos móviles o trabajan computadoras durante las llamadas de ingeniería social”, dijo el FBI. “Luego de obtener entrada, los actores de amenaza de UNC6040 han utilizado consultas API para exfiltrar grandes volúmenes de datos a abundante”.
Google ha atribuido la grado de perturbación a otro clúster sin categoría rastreado como UNC6240, que ha afirmado constantemente ser el comunidad Shinyhunters en correos electrónicos y llamados a empleados de organizaciones víctimas.
“Encima, creemos que los actores de amenaza que usan la marca ‘Shinyhunters’ pueden estar preparándose para aumentar sus tácticas de perturbación mediante el impulso de un sitio de fuga de datos (DLS)”, señaló Google el mes pasado. “Es probable que estas nuevas tácticas tengan la intención de aumentar la presión sobre las víctimas, incluidas las asociadas con las infracciones de datos relacionadas con la fuerza de ventas recientes de UNC6040”.
Desde entonces, ha habido una gran cantidad de desarrollos, el más trascendental es el equipo de Shinyhunters, Spiders Spider y Lapsus $ para consolidar y igualar sus esfuerzos criminales. Luego, el 12 de septiembre de 2025, el comunidad afirmó en su canal Telegram “dispersado Lapsus $ cazadores 4.0” que están cerrando.
“Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Prosx, Pertinax, Kurosh, Clown, Intelbroker, Spiders Spider, Yukari y entre muchos otros, han decidido ir oscurecer”, dijo el comunidad. “Nuestros objetivos han sido cumplidos, ahora es el momento de sostener adiós”.
Actualmente no está claro qué llevó al comunidad a colgar sus botas, pero es posible que el movimiento sea un intento de estar bajo y evitar más atención de la aplicación de la ley.
“El recién formado comunidad de Lapsus $ Hunters 4.0 dijo que está colgando las botas y” oscurecer “posteriormente de que alegó que la policía francesa arrestó a otra persona equivocada en relación con el comunidad de delitos cibernéticos”, dijo Sam Rubin, vicepresidente senior de consultoría y inteligencia de amenazas de la Dispositivo 42, a The Hacker News. “Estas declaraciones rara vez señalan una verdadera subsidio”.
“Los arrojo recientes pueden favor llevado al comunidad a estar bajo, pero la historia nos dice que esto a menudo es temporal. Grupos como este astillador, cambio de marca y resurgimiento, al igual que Shinyhunters. Incluso si las operaciones públicas se detienen, los riesgos permanecen: los datos robados pueden resurgir, las puestas no detectadas pueden persistir y los actores pueden retornar a emerger bajo los nuevos nombres. El silencio de un comunidad de amenazas no puede ser la igualdad de seguridad. suponiendo que la amenaza no ha desaparecido, solo adaptada “.
