Gainsight ha revelado que la nuevo actividad sospechosa dirigida a sus aplicaciones ha afectado a más clientes de lo que se pensaba anteriormente.
La compañía dijo que Salesforce inicialmente proporcionó una cinta de 3 clientes afectados y que se “amplió a una cinta más espacioso” a partir del 21 de noviembre de 2025. No reveló el número exacto de clientes que se vieron afectados, pero su director ejecutante, Chuck Ganapathi, dijo que “actualmente conocemos sólo un puñado de clientes cuyos datos se vieron afectados”.
El progreso se produce cuando Salesforce advirtió sobre una “actividad inusual” detectada relacionada con las aplicaciones publicadas por Gainsight conectadas a la plataforma, lo que llevó a la compañía a revocar todo llegada y renovar los tokens asociados con ellas. La infracción ha sido reclamada por un claro peña de ciberdelincuencia conocido como ShinyHunters (igualmente conocido como Bling Libra).
Se han recogido otras medidas de precaución para contener el incidente. Esto incluye que Zendesk, Batintín.io y HubSpot suspendan temporalmente sus integraciones con Gainsight y que Google deshabilite los clientes OAuth con URI de devolución de emplazamiento como Gainsightcloud(.)com. HubSpot, en su propio aviso, dijo que no encontró evidencia que sugiera ningún compromiso de su propia infraestructura o clientes.
En una pregunta frecuente, Gainsight igualmente enumeró los productos para los cuales la capacidad de analizar y escribir desde Salesforce no ha estado habitable temporalmente:
- Éxito del cliente (CS)
- Comunidad (CC)
- Northpass – Educación del cliente (CE)
- Aguamanil de tacto (SJ)
- Escalera (ST)
La compañía, sin requisa, enfatizó que Staircase no se ve afectado por el incidente y que Salesforce eliminó la conexión de Staircase por precaución en respuesta a una investigación en curso.
Tanto Salesforce como Gainsight han publicado indicadores de compromiso (IoC) asociados con la infracción, con una esclavitud de agente de becario, “Salesforce-Multi-Org-Fetcher/1.0”, utilizada para llegada no acreditado, igualmente marcada como empleada anteriormente en la actividad Salesloft Drift.
Según información de Salesforce, los esfuerzos de gratitud contra clientes con tokens de llegada de Gainsight comprometidos se registraron por primera vez desde la dirección IP “3.239.45(.)43” el 23 de octubre de 2025, seguidos de oleadas posteriores de gratitud y llegada no acreditado a partir del 8 de noviembre.
Para proteger aún más sus entornos, se solicita a los clientes que sigan los pasos a continuación:
- Gire las claves de llegada al depósito S3 y otros conectores como BigQuery, Zuora, Snowflake, etc., utilizados para conexiones con Gainsight
- Inicie sesión en Gainsight NXT directamente, en puesto de a través de Salesforce, hasta que la integración se restablezca por completo.
- Restablezca las contraseñas de becario de NXT para cualquier becario que no se autentique mediante SSO.
- Vuelva a autorizar cualquier aplicación o integración conectada que dependa de credenciales o tokens de becario
“Estas medidas son de naturaleza preventiva y están diseñadas para respaldar que su entorno permanezca seguro mientras continúa la investigación”, dijo Gainsight.
El progreso se produce en el contexto de una nueva plataforma de ransomware como servicio (RaaS) emplazamiento ShinySp1d3r (igualmente escrita Sh1nySp1d3r) que está siendo desarrollada por Scattered Spider, LAPSUS$ y ShinyHunters (SLSH). Los datos de ZeroFox han revelado que la alianza cibercriminal ha sido responsable de al menos 51 ciberataques durante el año pasado.
“Si adecuadamente el cifrador ShinySp1d3r tiene algunas características comunes a otros cifradores, igualmente cuenta con características que nunca antiguamente se habían conocido en el espacio RaaS”, dijo la compañía.
“Estos incluyen: conectar la función EtwEventWrite para evitar el registro del Visor de eventos de Windows, finalizar procesos que mantienen abiertos los archivos (lo que normalmente evitaría el criptográfico) iterando sobre los procesos antiguamente de eliminarlos, (y) guatar el espacio vaco en una pelotón escribiendo datos aleatorios contenidos en un archivo .tmp, que probablemente sobrescriba cualquier archivo eliminado”.
ShinySp1d3r igualmente viene con la capacidad de apañarse medios compartidos de red abiertos y cifrarlos, así como propagarlos a otros dispositivos en la red restringido a través de implementarViaSCM, implementarViaWMI e tryGPODeployment.
En un crónica publicado el miércoles, el periodista independiente de ciberseguridad Brian Krebs dijo que el individuo responsable de liberar el ransomware es un miembro central de SLSH llamado “Rey” (igualmente conocido como @ReyXBF), quien igualmente es uno de los tres administradores del canal Telegram del peña. Anteriormente, Rey fue administrador de BreachForums y del sitio web de filtración de datos del ransomware HellCat.
Rey, cuya identidad ha sido desenmascarada como Saif Al-Din Khader, le dijo a Krebs que ShinySp1d3r es una repetición de HellCat que ha sido modificado con herramientas de inteligencia sintético (IA) y que ha estado cooperando con las fuerzas del orden desde al menos junio de 2025.
“La aparición de un software RaaS, conexo con una propuesta EaaS (trastorno como servicio), convierte a SLSH en un adversario formidable en términos de la amplia red que pueden divulgar contra organizaciones que utilizan múltiples métodos para monetizar sus operaciones de intrusión”, dijo Matt Brady, investigador de la Mecanismo 42 de Palo Stop Networks. “Por otra parte, el sujeto de sustitución interno añade otra capa contra la cual las organizaciones deben defenderse”.
