Het US Federal Bureau of Investigation (FBI) heeft een flash -waarschuwing uitgegeven om indicatoren van compromis (IOC’s) te geven geassocieerd met twee cybercriminale groepen die worden gevolgd als UNC6040 en UNC6395 voor een reeks gegevensdiefstal en afpersingsaanvallen.
“Beide groepen zijn onlangs waargenomen om de Salesforce -platforms van organisaties te richten via verschillende initiële toegangsmechanismen,” zei de FBI.
UNC6395 is een bedreigingsgroep die een wijdverbreide gegevensdiefstalcampagne is toegeschreven die in augustus 2025 gericht op Salesforce -instanties door te exploiteren door gecompromitteerde oauth -tokens te exploiteren voor de SalesLoft Drift -applicatie. In een update die deze week werd uitgegeven, zei SalesLoft dat de aanval mogelijk werd gemaakt vanwege de schending van zijn GitHub -account van maart tot juni 2025.
Als gevolg van de inbreuk heeft SalesLoft de Drift -infrastructuur geïsoleerd en de Artificial Intelligence (AI) chatbot -applicatie offline genomen. Het bedrijf zei ook dat het bezig is met het implementeren van nieuwe multi-factor authenticatieprocessen en GitHub-verhardingsmaatregelen.
“We zijn gericht op de voortdurende verharding van de Drift -applicatieomgeving,” zei het bedrijf. “Dit proces omvat roterende referenties, het tijdelijk uitschakelen van bepaalde delen van de drift -toepassing en het versterken van beveiligingsconfiguraties.” “Op dit moment adviseren we alle drift -klanten om alle drift -integraties en gerelateerde gegevens te behandelen als mogelijk aangetast.”
De tweede groep waar de FBI de aandacht op heeft gevestigd is UNC6040. Beoordeeld als actief sinds oktober 2024, is UNC6040 de naam die door Google is toegewezen aan een financieel gemotiveerd dreigingscluster dat zich bezighoudt met campagnes om initiële toegang te verkrijgen en Salesforce-instanties te kapen voor grootschalige gegevensdiefstal en afpersing.
Deze aanvallen hebben betrekking op het gebruik van een gewijzigde versie van Salesforce’s Data Loader -applicatie en aangepaste Python -scripts om de verkoopportalen van slachtoffers te doorbreken en waardevolle gegevens te exfiltreren. Ten minste enkele van de incidenten hebben aftakelactiviteiten betrokken na UNC6040 -intrusies, waarbij ze maanden na de initiële gegevensdiefstal plaatsvinden.
“UNC6040 -dreigingsacteurs hebben phishing -panelen gebruikt en slachtoffers opdracht gegeven om hun mobiele telefoons of werkcomputers te bezoeken tijdens de calls voor sociale engineering,” zei de FBI. “Na het verkrijgen van toegang hebben UNC6040 -dreigingsactoren vervolgens API -query’s gebruikt om grote hoeveelheden gegevens in bulk te exfiltreren.”
De afpersingsfase is door Google toegeschreven aan een ander niet -gecategoriseerd cluster gevolgd als UNC6240, die consequent heeft beweerd de Shinyhunters Group te zijn in e -mails en oproepen aan werknemers van slachtofferorganisaties.
“Bovendien geloven we dat dreigingsacteurs die het merk ‘Shinyhunters’ gebruiken, zich mogelijk voorbereiden om hun afpersingstactieken te escaleren door een data leksite (DLS) te lanceren,” merkte Google vorige maand op. “Deze nieuwe tactieken zijn waarschijnlijk bedoeld om de druk op slachtoffers te vergroten, inclusief die geassocieerd met de recente UNC6040 Salesforce-gerelateerde datalekken.”
Sindsdien is er een vlaag van ontwikkelingen geweest, de meest opvallende is het samenwerken van glanzende, verspreide spin en Lapsus $ om hun criminele inspanningen te consolideren en te verenigen. Vervolgens beweerde de groep op 12 september 2025 op hun telegramkanaal “Scattered Lapsus $ Hunters 4.0” dat ze worden afgesloten.
“We lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, ProSox, Pertinax, Kurosh, Clown, Intelbroker, Scattered Spider, Yukari en onder vele anderen, hebben besloten om donker te worden,” zei de groep. “Onze doelstellingen die zijn bereikt, het is nu tijd om afscheid te nemen.”
Het is momenteel niet duidelijk wat de groep ertoe heeft aangezet om hun laarzen op te hangen, maar het is mogelijk dat de beweging een poging is om laag te leggen en verdere aandacht van wetshandhaving te voorkomen.
“De nieuw gevormde verspreide Lapsus $ Hunters 4.0 Group zei dat het de laarzen ophangt en ‘Go Dark’ ophangt nadat het beweerde dat de Franse wetshandhaving een andere verkeerde persoon arresteerde in verband met de cybercriminaliteitsgroep,” vertelde Sam Rubin, senior vice -president van Unit 42 Consulting and Threat Intelligence, tegen het Hacker News. “Deze verklaringen wijzen zelden aan een echt pensioen.”
“Recente arrestaties hebben de groep misschien ertoe aangezet om laag te liggen, maar de geschiedenis vertelt ons dat dit vaak tijdelijk is. Groepen zoals deze splinter, rebrand en weerkomen-net als Shinyhunters. Zelfs als openbare bewerkingen pauzeren, blijven de risico’s blijven: gestolen gegevens kunnen niet-gedetecteerde backdoors blijven en actoren kunnen niet-geërgerd zijn. Veronderstelling dat de dreiging niet is verdwenen, alleen aangepast. “
