Gainsight heeft onthuld dat de recente verdachte activiteit gericht op zijn applicaties meer klanten heeft getroffen dan eerder werd gedacht.
Het bedrijf zei dat Salesforce aanvankelijk een lijst met drie getroffen klanten had verstrekt en dat het vanaf 21 november 2025 is “uitgebreid naar een grotere lijst”. Het exacte aantal klanten dat hierdoor werd getroffen, werd niet bekendgemaakt, maar de CEO, Chuck Ganapathi, zei: “We kennen momenteel slechts een handvol klanten bij wie hun gegevens zijn getroffen.”
De ontwikkeling komt op het moment dat Salesforce waarschuwde voor gedetecteerde “ongebruikelijke activiteit” met betrekking tot door Gainsight gepubliceerde applicaties die op het platform zijn aangesloten, wat het bedrijf ertoe aanzette alle toegang te intrekken en tokens te vernieuwen die daaraan gekoppeld zijn. De inbreuk is opgeëist door een beruchte cybercriminaliteitsgroep die bekend staat als ShinyHunters (ook bekend als Bling Libra).
Er zijn nog een aantal andere voorzorgsmaatregelen genomen om het incident te beperken. Dit omvat onder meer dat Zendesk, Gong.io en HubSpot hun Gainsight-integraties tijdelijk opschorten, en dat Google OAuth-clients met callback-URI’s zoals gainsightcloud(.)com uitschakelt. HubSpot zei in zijn eigen advies dat het geen bewijs heeft gevonden dat wijst op enig compromis met zijn eigen infrastructuur of klanten.
In een FAQ heeft Gainsight ook de producten vermeld waarvoor de mogelijkheid om vanuit Salesforce te lezen en te schrijven tijdelijk niet beschikbaar is –
- Klantsucces (CS)
- Gemeenschap (CC)
- Northpass – Klanteneducatie (CE)
- Skilljar (SJ)
- Trap (ST)
Het bedrijf benadrukte echter dat Staircase geen last heeft van het incident en dat Salesforce de Staircase-verbinding uit voorzichtigheid heeft verwijderd naar aanleiding van een lopend onderzoek.
Zowel Salesforce als Gainsight hebben indicatoren van compromis (IoC’s) gepubliceerd die verband houden met de inbreuk, waarbij één user-agentstring, “Salesforce-Multi-Org-Fetcher/1.0”, gebruikt voor ongeautoriseerde toegang, ook gemarkeerd als eerder gebruikt in de Salesloft Drift-activiteit.
Volgens informatie van Salesforce werden op 23 oktober 2025 verkenningsinspanningen tegen klanten met gecompromitteerde Gainsight-toegangstokens voor het eerst geregistreerd vanaf het IP-adres “3.239.45(.)43”, gevolgd door daaropvolgende golven van verkenningen en ongeautoriseerde toegang vanaf 8 november.
Om hun omgevingen verder te beveiligen, worden klanten gevraagd de onderstaande stappen te volgen:
- Draai de S3-buckettoegangssleutels en andere connectoren zoals BigQuery, Zuora, Snowflake enz., gebruikt voor verbindingen met Gainsight
- Log rechtstreeks in bij Gainsight NXT, in plaats van via Salesforce, totdat de integratie volledig is hersteld
- Reset NXT-gebruikerswachtwoorden voor alle gebruikers die zich niet authenticeren via SSO.
- Autoriseer alle verbonden applicaties of integraties die afhankelijk zijn van gebruikersreferenties of tokens opnieuw
“Deze stappen zijn preventief van aard en zijn bedoeld om ervoor te zorgen dat uw omgeving veilig blijft terwijl het onderzoek voortduurt”, aldus Gainsight.
De ontwikkeling vindt plaats tegen de achtergrond van een nieuw ransomware-as-a-service (RaaS)-platform genaamd ShinySp1d3r (ook wel gespeld als Sh1nySp1d3r) dat wordt ontwikkeld door Scattered Spider, LAPSUS$ en ShinyHunters (SLSH). Uit gegevens van ZeroFox is gebleken dat de cybercriminele alliantie het afgelopen jaar verantwoordelijk is geweest voor ten minste 51 cyberaanvallen.
“Hoewel de ShinySp1d3r-encryptor enkele kenmerken heeft die andere encryptors gemeen hebben, beschikt deze ook over functies die nog nooit eerder in de RaaS-ruimte zijn gezien”, aldus het bedrijf.
“Deze omvatten: het koppelen van de EtwEventWrite-functie om loggen van Windows Event Viewer te voorkomen, het beëindigen van processen die bestanden openhouden – wat normaal gesproken versleuteling zou voorkomen – door processen te herhalen voordat ze worden gedood, (en) het vullen van vrije ruimte op een schijf door willekeurige gegevens in een .tmp-bestand te schrijven, waardoor waarschijnlijk alle verwijderde bestanden worden overschreven. “
ShinySp1d3r biedt ook de mogelijkheid om te zoeken naar open netwerkshares en deze te versleutelen, en om deze door te geven aan andere apparaten op het lokale netwerk via deployViaSCM, deployViaWMI en tryGPODeployment.
In een woensdag gepubliceerd rapport zei de onafhankelijke cybersecurityjournalist Brian Krebs dat de persoon die verantwoordelijk is voor het vrijgeven van de ransomware een SLSH-lid is genaamd “Rey” (ook bekend als @ReyXBF), die ook een van de drie beheerders is van het Telegram-kanaal van de groep. Rey was voorheen beheerder van BreachForums en de datalekwebsite voor HellCat-ransomware.
Rey, wiens identiteit is ontmaskerd als Saif Al-Din Khader, vertelde Krebs dat ShinySp1d3r een herhaling is van HellCat die is aangepast met hulpmiddelen voor kunstmatige intelligentie (AI) en dat hij minstens sinds juni 2025 samenwerkt met wetshandhaving.
“De opkomst van een RaaS-programma, in combinatie met een EaaS-aanbod (afpersing-as-a-service), maakt SLSH tot een formidabele tegenstander in termen van het brede net dat ze kunnen inzetten tegen organisaties die meerdere methoden gebruiken om geld te verdienen met hun inbraakoperaties”, zei Matt Brady, onderzoeker van Palo Alto Networks Unit 42. “Bovendien voegt het rekruteringselement van insiders nog een extra laag toe waar organisaties zich tegen kunnen verdedigen.”
