La Oficina Federal de Investigación de los Estados Unidos (FBI) ha emitido una alerta flash para publicar indicadores de compromiso (COI) relacionados con dos grupos de delitos cibernéticos rastreados como UNC6040 y UNC6395 debido a una serie de ataques de robo de datos y TOR.
«Se ha observado que ambos grupos han estado apuntando recientemente a la plataforma Salesforce de su organización a través de varios mecanismos de acceso temprano», dijo el FBI.
UNC6395 es un grupo de amenazas causado por una amplia gama de campañas de robo de datos que se dirigen a las instancias de Salesforce en agosto de 2025 aprovechando los tokens OAuth comprometidos de la aplicación SalesLoft Drift. En una actualización publicada esta semana, Salesloft dijo que las violaciones de las cuentas de Github de marzo a junio de 2025 hicieron posible el ataque.
Como resultado de la violación, SalesLoft ha aislado la infraestructura de deriva y ha tomado la aplicación de chatbot de inteligencia artificial (IA) fuera de línea. La compañía también dijo que está en el proceso de implementar un nuevo proceso de certificación multifactorial y una contramedida de cura GitHub.
«Nos estamos centrando en el curado continuo de nuestro entorno de aplicación de deriva», dijo la compañía. «Este proceso implica las credenciales giratorias, deshabilitar temporalmente ciertas partes de la aplicación de deriva y mejorar las configuraciones de seguridad». «En este punto, asesoramos a todos los clientes de deriva que traten todas las integraciones de deriva y los datos relacionados como potencialmente afectados».
El segundo grupo que el FBI llama la atención es UNC6040. UNC6040, calificado como activo desde octubre de 2024, es el nombre que Google ha asignado a un clúster de amenazas motivado financieramente, involucrado en una campaña de facturación para obtener acceso inicial y secuestrar instancias de la fuerza de ventas para el robo de datos a gran escala y el miedo Tor.
Estos ataques utilizan una versión modificada de la aplicación Salesforce Data Loader y los scripts de Python personalizados para violar el portal de Salesforce de la víctima y eliminar datos valiosos. Al menos algunos de los incidentes involucraron la actividad de temor de la UNC6040, y tuvo lugar varios meses después del robo de datos iniciales.
«Los actores de amenaza de UNC6040 usan paneles de phishing y están instruyendo a las víctimas a visitar sus teléfonos móviles o computadoras de trabajo durante las llamadas de ingeniería social», dijo el FBI. «Después de obtener acceso, los actores de amenaza de UNC6040 utilizaron consultas API para eliminar una gran cantidad de datos».
El Fear Tor Stage se atribuye a otro clúster no categorizado rastreado por Google como UNC6240, que consistentemente afirma ser el grupo Shinyhunters en correos electrónicos y llamadas telefónicas a los empleados de la organización víctima.
«También creemos que los actores de amenaza que usan la marca ‘Shinyhunters’ pueden estar preparándose para aumentar las tácticas de Fear Tor al lanzar un sitio de fuga de datos (DLS)», dijo Google el mes pasado. «Estas nuevas tácticas pueden estar dirigidas a aumentar la presión sobre las víctimas, incluidas las relacionadas con las infracciones de datos relacionadas con la fuerza de ventas recientes de UNC6040».
Lo más notable desde entonces es el equipo de Shinyhunters, Spricded Spider y Lapsus $ para integrar y consolidar los esfuerzos criminales. Luego, el 12 de septiembre de 2025, el grupo afirmó que estaban cerrando su canal de telegrama con «Lapsus $ cazadores de 4.0».
«Decidimos que Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Posox, Pertinax, Kurosh, Clown, Intelbroker, Spits Spider Spider y muchos otros estarían oscuros». Nuestro propósito ha sido realizado. Ahora es el momento de decir adiós «.
Actualmente no está claro por qué el grupo comenzó a cortar sus botas, pero este movimiento podría ser un lento e intentar evitar la atención de las agencias de aplicación de la ley.
«El recién formado grupo de Lapsus $ Hunters 4.0 dijo ‘Dark’ después de que la policía francesa supuestamente arrestó a otra persona equivocada en relación con un grupo de delitos cibernéticos», dijo a Hacker News Sam Rubin, vicepresidente senior de consultoría e inteligencia de amenazas de la Unidad 42. «Estas declaraciones rara vez le informan de una verdadera jubilación».
«Los arrestos recientes pueden haber hecho que el grupo sea más bajo, pero la historia nos dice que esto a menudo es temporal. Este fragmento, cambio de marca y resurgente grupos, incluso si las obras públicas están suspendidas, se pueden jugar datos robados. No ha desaparecido, solo se adapta».
Source link
