La Oficina Federal de Investigación (FBI) ha publicado una alerta flash que detalla las actividades de dos grupos cibercriminales, UNC6040 y UNC6395, que comprometen activamente los entornos de Salesforce para robar datos con fines de extorsión.
El aviso, publicado por el FBI el 12 de septiembre de 2025, proporciona indicadores de compromiso (COI) y medidas defensivas para ayudar a las organizaciones a proteger contra estas campañas en curso que aprovechan tácticas distintas para lograr sus objetivos.
Aquí está la cobertura detallada de las lecciones de las violaciones de datos de deriva de Salesforce/SalesLoft: estudio de caso detallado.
Campaña de ingeniería social de UNC6040
Desde al menos octubre de 2024, el grupo rastreó como UNC6040 ha estado utilizando la ingeniería social, particularmente el phishing de voz (Vishing), para obtener acceso inicial.
Los actores de amenaza llaman a la mesa de ayuda de una organización, haciéndose pasar por el personal de TI, intentando resolver un problema técnico falso. Durante estas llamadas, persuaden a los empleados para que compartan sus credenciales o otorguen a los atacantes acceso a la instancia de Salesforce de la compañía.
Una táctica clave implica engañar a los empleados para que autorizar una “aplicación conectada” maliciosa dentro del portal de Salesforce. Esta aplicación es a menudo una versión modificada de la herramienta legítima del cargador de datos Salesforce.
Al convencer a un usuario con privilegios suficientes para aprobar la aplicación, UNC6040 gana acceso persistente a través de tokens OAuth emitidos por Salesforce.
Este método puede evitar controles de seguridad como autenticación multifactor (MFA) y restablecimiento de contraseña, ya que la actividad parece originarse en una aplicación integrada e integrada.
Luego, los atacantes usan consultas API para exfiltrar grandes volúmenes de datos. Después del robo de datos, algunas víctimas han recibido correos electrónicos de extorsión del notorio grupo “Shinyhunters”, exigiendo el pago para evitar la liberación pública de la información robada.
UNC6395 Explotación de integración de terceros
El segundo grupo, UNC6395, empleó un método diferente para violar las instancias de Salesforce. En agosto de 2025, estos actores explotaron los tokens OAuth comprometidos asociados con la aplicación de deriva de SalesLoft, un chatbot con IA que se integra con Salesforce.
Al utilizar estos tokens de terceros comprometidos, el grupo pudo acceder y exfiltrar datos del entorno de Salesforce de la víctima, destacando los riesgos de seguridad planteados por las integraciones de aplicaciones de terceros.
En respuesta a esta campaña, SalesLoft y Salesforce colaboraron para revocar todo el acceso activo y actualizar tokens para la aplicación Drift el 20 de agosto de 2025. Esta acción terminó con éxito el acceso de los actores de amenaza a las plataformas de Salesforce comprometidas a través de este vector específico.
El FBI ha lanzado Una extensa lista de COI, que incluye direcciones IP, URL maliciosas y cadenas de agentes de usuario asociadas con UNC6040 y UNC6395, para ayudar a los defensores de las redes a detectar y bloquear la actividad relacionada. La agencia recomienda encarecidamente que las organizaciones tomen varias medidas para mitigar el riesgo de compromiso.
Por supuesto, aquí está la tabla con los indicadores de compromiso, con las direcciones IP formateadas según lo solicitado.
UNC6040 Indicadores de compromiso
IOC TipoinDicatorIP Dirección13.67.175 (.) 79IP Dirección20.190.130 (.) 40IP Dirección20.190.151 (.) 38IP Dirección20.190.157 (.) 160IP Dirección20.190.157 (.) 98IP Dirección23.145.40 (.) 165IP Dirección23.145.40 (.190.157 (.) 98IP. Dirección 23.145.40 (.) 99IP Dirección 23.162.8 (.) 66IP Dirección 23.234.69 (.) 167IP Dirección 23.94.126 (.) 63IP Dirección31.58.169 (.) 85IP Dirección31.58.169 (.) 92IP Dirección31.58.169 (.) 96IP. Dirección35.186.181 (.) 1IP Dirección37.19.200 (.) 132IP Dirección37.19.200 (.) 141IP Dirección37.19.200 (.) 154IP Dirección37.19.200 (.) 167IP Dirección37.19.221 (.) 179IP Dirección38.22.104 (.) 226IP. Dirección51.89.240 (.) 10IP Dirección 64.95.11 (.) 225IP Dirección 64.95.84 (.) 159IP Dirección66.63.167 (.) 122IP Dirección67.217.228 (.) 216IP Dirección68.235.43 (.) 202IP Dirección68.235.46 (.) 22IP Dirección68.235.45.46 (. Dirección 68.235.46 (.) 151IP Dirección 68.235.46 (.) 208IP Dirección68.63.167 (.) 122IP Dirección 69.246.124 (.) 204IP Dirección72.5.42 (.) 72IP Dirección79.127.217 (.) 44IP Dirección 83.147.52 (.) 41IP Dirección 87.120.112 (.) 134IP Dirección 94.156.167 (.) 237IP Dirección96.44.189 (.) 109IP Dirección96.44.191 (.) 141IP Dirección96.44.191 (.) 157IP Dirección104.223.118 (.) 62IP Dirección104.193.135 (.) 221IP Dirección141.98.252 (.) 189IP Dirección146.70.165 (.) 47IP Dirección146.70.168 (.) 239IP Dirección146.70.173 (.) 60IP Dirección146.70.185 (.) 47IP Dirección146.70.189 (.) 47IP Dirección146.70.185.189). Dirección146.70.198 (.) 112IP Dirección146.70.211 (.) 55IP Dirección146.70.211 (.) 119IP Dirección146.70.211 (.) 183IP Dirección147.161.173 (.) 90IP DIRECCIÓN149.22.81 (.) CDING Dirección151.242.58 (.) 76IP Dirección163.5.149 (.) 152IP Dirección185.141.119 (.) 136IP Dirección185.141.119 (.) 138IP Dirección185.141.119 (.) 151IP Dirección185.141.119 (.) 166IP Dirección185.141.119 (.) 168IP Dirección185.141.119 (.) 181IP Dirección185.141.119 (.) 184IP Dirección185.141.119 (.) 185IP Dirección185.209.199 (.) 56IP Dirección191.96.207 (.) 201IP Dirección192.198.82 (.) 235IP Dirección195.54.130 (.) 100IP Dirección196.251.83 (.) 162IP Dirección198.44.129 (.) 56IP Dirección198.44.129 (.) 88IP Dirección198.244.224 (.) 200IP Dirección198.54.130 (.) 100IP Dirección198.54.130 (.) 108IP Dirección198.54.133 (.) 123IP Dirección205.234.181 (.) 14IP Dirección206.217.206 (.) 14IP Dirección206.217.206 (.) 25IP Dirección206.217.206 (.) 26IP Dirección206.217.206 (.) 64IP Dirección206.217.206 (.) 84IP Dirección206.217.206 (.) 104IP Dirección206.217.206 (.) 124IP Dirección208.131.130 (.) 53IP Dirección208.131.130 (.) 71IP Dirección208.131.130 (.) 91urllogin (.) Salesforce (.) Com/Setup/Connect? User_Code = AKYF7V5NURLLOGIN.SALESFORCE.com/SETUP/CONNECT? USER_CODE = 8KCQG Tvuurlhttps: // ayuda (víctima) (.) Comurlhttps: // login (.) Salesforce (.) Com/setup/conecturlhttp: //64.95.11 (.) 112/hello.phpurl91.199.42.164/login
UNC6395 Indicadores de compromiso
IOC TypeIndicatorIP Dirección208.68.36 (.) 90IP Dirección44.215.108 (.) 109IP Dirección154.41.95 (.) 2IP Dirección176.65.149 (.) 100IP Dirección179.43.159 (.) 198IP Dirección185.130.47 (.) 58IP Dirección185.207.107 (.) 130IP Dirección185.220.101 (.) 33IP Dirección185.220.101 (.) 133IP Dirección185.220.101 (.) 143IP Dirección185.220.101 (.) 164IP Dirección185.220.101 (.) 167IP Dirección185.220.101 (.) 169IP Dirección185.220.101 (.) 180IP Dirección185.220.101 (.) 185IP Dirección192.42.116 (.) 20IP Dirección192.42.116 (.) 179IP Dirección194.15.36 (.) 117IP Dirección195.47.238 (.) 83IP Dirección195.47.238 (.) 178 User-Agentsalesforce-Multi-ORG-Fetcher/1.0User-Agentsalesforce-Cli/1.0user-Agentpython-Requests/2.32.4user-Agentpython/3.11 AIOHTTP/3.12.15
Las recomendaciones clave incluyen capacitar a los empleados, especialmente al personal del centro de llamadas, para reconocer e informar los intentos de phishing e vishing.
El FBI también aconseja hacer cumplir MFA resistente a phishing en todos los servicios posibles, aplicar el principio de menor privilegio a las cuentas de usuario e implementar estrictas restricciones de acceso basadas en IP.
Además, las organizaciones deben monitorear continuamente los registros de redes y el uso de API para un comportamiento anómalo que indique la exfiltración de datos y revisar regularmente todas las integraciones de aplicaciones de terceros conectadas a sus plataformas de software, las claves de API giratorias y las credenciales con frecuencia.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
