Una campaña generalizada de robo de datos permitió a los piratas informáticos comprometer la plataforma de automatización de ventas SalesLoft, robar OAuth y actualizar tokens asociados con agentes de chat de inteligencia artificial (IA) de deriva.
Las actividades calificadas como inherentemente oportunistas son actores de amenazas rastreados por Google Amenazing Intelligence Group y Mandiant, rastreados como UNC6395.
«Hasta el 8 de agosto de 2025, y al menos hasta el 18 de agosto de 2025, el actor apuntó a las instancias de los clientes de Salesforce a través de tokens OAuth comprometidos relacionados con las aplicaciones de terceros de Salesloft Drift».
Estos ataques se han observado que los actores de amenaza exportan grandes cantidades de datos de numerosas instancias de la fuerza de ventas corporativas, y luego están destinados a recolectar calificaciones que pueden usarse para comprometer el entorno de las víctimas. Estos incluyen la clave de acceso de Amazon Web Services (AWS) (AKIA), contraseñas y tokens de acceso relacionados con el copo de nieve.
UNC6395 también demuestra la conciencia de seguridad operativa al eliminar los trabajos de consulta, pero Google insta a las organizaciones a realizar más investigaciones para determinar el alcance de la revocación clave de API, la rotación de derechos y el compromiso, así como a revisar registros relevantes para la evidencia de la exposición a los datos.
En un aviso publicado el 20 de agosto de 2025, Salesloft declaró que ha identificado problemas de seguridad en su aplicación de deriva y canceló activamente la conexión entre Drift y Salesforce. Este incidente no afectará a los clientes que no se han integrado con Salesforce.
«El actor de amenaza utilizó credenciales de OAuth para eliminar los datos de su instancia de Salesforce», dijo Salesloft. «Los actores de amenaza realizaron una consulta para recuperar información relacionada con varios objetos de Salesforce, como casos, cuentas, usuarios, oportunidades y más».
La compañía también recomienda que los administradores vuelvan a reconocer la conexión de Salesforce y vuelvan a habilitar la integración. Se desconoce la escala exacta de la actividad. Sin embargo, Salesloft dijo que notificó a todas las partes afectadas.
En un comunicado el martes, Salesforce dijo que «un pequeño número de clientes» se vieron afectados y el problema se atribuyó a «conexiones de aplicaciones comprometidas».
«Trabajamos con Salesforce para deshabilitar el acceso activo, actualizar el token, eliminar la deriva de AppExchange y luego notificamos a los clientes afectados», agregó Salesforce.
El desarrollo ha convertido a los instancias de Salesforce en un objetivo activo para grupos de amenazas motivados financieramente como UNC6040 y UNC6240 (también conocido como cazadores brillantes), este último modificado con arañas dispersas (también conocidas como UNC3944) para garantizar el acceso inicial.
«Lo más notable de los ataques de UNC6395 es la escala y la disciplina», dijo Cory Michal, OSC en Apomni. «Este no fue un compromiso único. Cientos de tentantes de la fuerza de ventas de una organización particular de interés fueron atacados utilizando tokens OAuth robados, y los atacantes fueron consultados y exportados sistemáticamente en muchos entornos».
«Han demostrado que intentan cubrir pistas realizando altos niveles de disciplina operativa, ejecutando consultas estructuradas, buscando especialmente credenciales y eliminando trabajos. La combinación de escala, enfoque y tradicionalidad hace que esta campaña se destaque».
Mikal también señala que muchas de las organizaciones específicas y comprometidas son empresas de seguridad y tecnología por derecho propio, lo que indica que la campaña podría ser un «movimiento de apertura» como parte de una estrategia de ataque de la cadena de suministro más amplia.
«Al infiltrarse en el proveedor inicial y el proveedor de servicios, el atacante lo colocó en una posición para convertir a sus clientes y socios aguas abajo», agregó Mikal. «Esto podría ser un compromiso para SaaS aislados, así como la base de una campaña mucho más grande destinada a explotar la confianza que existe en toda la cadena de suministro de la tecnología».
Source link
