Microsoft brengt drie Salesforce-aanvalspaden in kaart die verband houden met een jaar van ShinyHunters-activiteit

Aanvallers wier methoden aansluiten bij de data-afpersingsgroep ShinyHunters zijn het afgelopen jaar de zakelijke Salesforce-omgevingen binnengelopen zonder ook maar één fout in het platform te misbruiken.

De weg naar binnen was het vertrouwen dat de organisatie al had opgebouwd, meestal via de OAuth-verbindingen die Salesforce verbinden met de apps en externe leveranciers eromheen.

In onderzoek dat op 13 juli werd gepubliceerd, bracht Microsoft de campagnes, die liepen van medio 2025 tot medio 2026, in kaart met drie verschillende technieken. Het werkte ook samen met Salesforce om nieuwe detectie- en governancetools uit te rollen, gericht op het aanpakken van de ontbrekende activiteitenauthenticatielogboeken.

Dat maakt het lastig om dit te vangen. Wanneer de toegang afkomstig is van een echte gebruiker die een verbonden app heeft goedgekeurd, of van een integratie die het bedrijf al vertrouwt, wordt het verkeer gelezen als normaal gebruik en wordt dit nauwelijks geregistreerd bij aanmelding en verificatiecontrole.

Waar het om gaat is wat de app of het account doet als deze eenmaal is geïnstalleerd, en dat is precies waarvoor de meeste Salesforce-logboeken niet zijn gebouwd om te laten zien.

Microsoft groepeert de activiteit in drie inbraakpaden:

  • vishing-oproepen die werknemers ertoe verleiden een kwaadwillige verbonden app goed te keuren,
  • gestolen OAuth-tokens van gecompromitteerde softwareleveranciers, en
  • verkeerd geconfigureerde gasttoegang naar Salesforce-sites.

Elk daarvan komt overeen met een Salesforce-incident van het afgelopen jaar, en Microsoft zegt de activiteit te hebben gezien bij huurders in sectoren als de detailhandel, het onderwijs en de productie.

Het telefoontje

Het eerste pad is het pad waarmee de hele run begon. Vanaf medio 2025 plaatsten de actoren voice-phishing (vishing)-oproepen die zich voordeden als IT-ondersteuning en spraken werknemers via het OAuth-toestemmingsscherm van Salesforce, waardoor ze een door aanvallers bestuurde verbonden app konden autoriseren, verkleed als Salesforce’s eigen Data Loader-tool.

Zodra toestemming was verleend, kon de app als die gebruiker API-aanroepen doen, waardoor de aanvallers de Salesforce-gegevens van de organisatie konden opsommen, permanente toegang tot CRM-records konden behouden en op zoek konden gaan naar inloggegevens die de deur naar andere SaaS-platforms zouden kunnen openen.

Geen malware, geen herhaling van gestolen wachtwoorden. Slechts een telefoontje en een klik op toestemming.

Dit is de campagne die Google’s Threat Intelligence Group (GTIG) en Mandiant medio 2025 hebben gedocumenteerd, waarbij de initiële toegang werd gevolgd als UNC6040 en de daaropvolgende afpersing als UNC6240, die beide bleven beweren ShinyHunters te zijn om harder op de slachtoffers te leunen.

Google bevestigde dat een van zijn eigen zakelijke Salesforce-instanties in juni 2025 werd getroffen, waarbij de aanvallers grotendeels openbare zakelijke contactgegevens verzamelden voordat Google deze afsneed. Dezelfde golf werd publiekelijk in verband gebracht met inbreuken bij Chanel en Pandora, waarbij Adidas, Qantas, Allianz Life en verschillende LVMH-merken ook als doelwitten werden genoemd.

Het advies van Mandiant aan de verdedigers was bot: deze telefoontjes maken gebruik van het instinct van een helpdesk om behulpzaam te zijn, standaard identiteitscontroles zijn vaak niet van toepassing, en de veilige zet is om op te hangen en terug te bellen op een bekend goed kanaal.

Gestolen tokens van vertrouwde leveranciers

Het tweede pad slaat de werknemer volledig over. In plaats van een gebruiker te phishing, overvallen de aanvallers een externe leverancier wiens app al OAuth-toegang heeft tot de Salesforce-organisaties van zijn klanten, stelen de verbindingsgeheimen of tokens en gebruiken deze om gegevens op te vragen en te exporteren naar vele downstream-instanties tegelijk.

Omdat het verkeer afkomstig is van een goedgekeurde integratie, worden er geen aanmeldingsalarmen geactiveerd en gaat het over in de normale automatisering.

Microsoft wijst hier op drie incidenten. Het Salesloft Drift-compromis van augustus 2025 is het grootste en duidelijkste: aanvallers stalen OAuth- en vernieuwingstokens die waren gekoppeld aan de Drift AI-chatintegratie en keerden deze tegen Salesforce-klantomgevingen.

Google schatte dat de Drift-tokendiefstal mogelijk meer dan 700 organisaties heeft blootgelegd, waaronder Cloudflare, Zscaler, Palo Alto Networks, Proofpoint, PagerDuty en Tanium. Google volgt het cluster als UNC6395; Cloudflare’s Cloudforce One noemt het GRUB1.

Salesloft traceerde later de hoofdoorzaak van de toegang van de aanvaller tot zijn GitHub-account al in maart 2025, dat werd gebruikt om de AWS-omgeving van Drift te bereiken en de tokens te verzamelen. De operators waren er voor geheimen, voerden SOQL-query’s uit om ondersteuningscases en andere objecten te doorzoeken op AWS-sleutels, Snowflake-tokens en wachtwoorden en verwijderden vervolgens hun querytaken om iedereen die onderzoek deed, te vertragen.

Bij het Gainsight-incident van november 2025 speelde hetzelfde spel tegen een andere leverancier. Salesforce haalde door Gainsight gepubliceerde apps terug nadat ongebruikelijke API-activiteit werd opgemerkt, en GTIG koppelde de campagne aan ShinyHunters-filialen in meer dan 200 getroffen Salesforce-instanties.

De mensen achter de naam ShinyHunters beweerden dat de Salesloft- en Gainsight-golven samen bijna 1.000 organisaties bereikten, een cijfer dat niet onafhankelijk is bevestigd.

Het meest recente geval, uit juni 2026, is het Klue-compromis. Aanvallers kwamen het platform voor concurrentie-intelligentie binnen via een al lang niet meer gebruikte maar nog steeds actieve, verouderde inloggegevens die waren overgebleven van een testintegratie die nooit was geïmplementeerd, pushten een code-update die de OAuth-tokens van klanten verzamelde en gebruikten deze om Salesforce- en Gong-gegevens te bereiken die toebehoorden aan Klue-klanten, waaronder Huntress en Recorded Future.

Microsoft volgt de Klue-acteur als Storm-3138. Eén naamgevingsrimpel voor iedereen die naar rapporten verwijst: het grootste deel van de industrie, inclusief Huntress en Datadog, koppelt de afpersing van Klue aan een groep die zichzelf Icarus noemt, en een Telegram-account dat beweert ShinyHunters te zijn, kreeg ook de eer.

De labels vervagen omdat deze identiteiten elkaar overlappen en opportunistisch worden geclaimd, wat geldt voor deze hele reeks campagnes.

Gasttoegang opengelaten

Het derde pad heeft helemaal geen inloggegevens nodig. Microsoft zag een toename van verdachte activiteit van gastgebruikers tegen Salesforce Aura-eindpunten, het raamwerk achter Experience Cloud-sites. Waar gastgebruikersmachtigingen verkeerd waren geconfigureerd, bereikten de actoren de Aura-functionaliteit zonder authenticatie.

Ze belden de GraphQL Aura-controller en gebruikten cursorgebaseerde paginering om records voorbij de standaard querylimiet van 2.000 records te halen, en liepen weg met veel meer dan de gastrol moest blootleggen.

De gerelateerde detectie van Microsoft verwijst naar de AuraInspector-tooling die wordt gebruikt om deze eindpunten te onderzoeken. Er was geen sprake van een exploit. De organisatie had ervoor gezorgd dat de gastrol meer kon zien dan zou moeten, en de acteurs lazen het voor alles wat het waard was.

Wat Microsoft en Salesforce hebben verzonden om het op te vangen

Het signaal dat wel bestaat, zit in wat er gebeurt na toegang: welke verbonden app heeft gebeld, welke OAuth-scope het bevat, hoeveel er wordt opgevraagd en of dat normaal is voor de tenant.

Microsoft werkte samen met Salesforce om precies dat naar voren te brengen in Defender for Cloud Apps. Voor klanten die Salesforce Shield Event Monitoring gebruiken, integreert de geüpgradede Salesforce-connector het Real-Time Event Monitoring-framework voor bijna realtime detectie en voegt attributie aan verbonden apps toe, waardoor activiteit wordt gekoppeld aan een specifieke app-identiteit en de toegekende OAuth-scopes, samen met meer sessie- en API-context.

Naast detectie heeft Microsoft postuur- en beheerfuncties toegevoegd voor verbonden OAuth-apps: een weergave van zeer bevoorrechte apps met een verhoogd bereik, een manier om ongebruikte apps die 90 dagen of langer inactief zijn geweest naar boven te halen met behoud van live-rechten, en een risicoscore van 0 tot 100 per app die teams kunnen doorgeven aan waarschuwingen en beleid.

Het doel is om de te veel toegestane en vergeten integraties te vinden voordat iemand anders dat doet.

Het OAuth-aanvalsoppervlak verkleinen

De richtlijnen van Microsoft zijn praktisch en komen overeen met wat de leveranciers na elk incident zeiden: verbind Salesforce-instanties met Defender for Cloud Apps voor de extra telemetrie, schakel Salesforce-gebeurtenislogboeken in en bekijk ze daadwerkelijk, en vergrendel de toegang van Experience Cloud-gastgebruikers.

Naast de productspecifieke stappen zijn de duurzame oplossingen de bekende. Inventariseer de verbonden apps, verwijder de apps die niemand gebruikt, beperk de rest tot de minste privileges en wees bereid om tokens in te trekken en te roteren zodra een integratie zich vreemd begint te gedragen.

Het patroon onder alle drie de paden is hetzelfde. De identiteitscontroles die de meeste bedrijven de afgelopen tien jaar hebben ontwikkeld, zijn gemaakt voor menselijke logins: MFA, voorwaardelijke toegang en sessiebeleid. De OAuth-apps, integratieaccounts en servicereferenties die het eigenlijke werk doen in een moderne Salesforce-stack bevinden zich meestal daarbuiten, onbewaakt en met te veel toestemming.

De aanvallers die dit ontdekten, voerden het een jaar lang uit, en meer dan eens was de toegang niets exotischer dan een identificatie die iemand vergat uit te schakelen.

The Hacker News heeft contact opgenomen met Microsoft voor meer details over de toeschrijving van de actoren achter deze campagnes en zal dit verhaal bijwerken bij eventuele reacties.

Thijs Van der Does