Een wijdverbreide campagne voor gegevensdiefstal heeft hackers in staat gesteld om het verkoopautomatiseringsplatform te overtreden SalesLoft om oauth te stelen en tokens te vernieuwen die zijn geassocieerd met de chatagent van de Drift Artificial Intelligence (AI).
De activiteit, beoordeeld als opportunistisch van aard, is toegeschreven aan een dreigingsacteur die wordt gevolgd door Google Threat Intelligence Group en Mandiant, gevolgd als UNC6395.
“Beginnend al op 8 augustus 2025, tot op 18 augustus 2025, richtte de acteur zich op Salesforce-klantinstanties door gecompromitteerde oauth-tokens geassocieerd met de Salesloft Drift-drift derden,” zei onderzoekers Austin Larsen, Matt Lin, Tyler McLellan en Omar Elahdan.
In deze aanvallen zijn de dreiging -actoren waargenomen die grote hoeveelheden gegevens uit tal van bedrijfsverkoopinstanties exporteren, met het waarschijnlijke doel van het oogsten van referenties die vervolgens kunnen worden gebruikt om slachtofferomgevingen in gevaar te brengen. Deze omvatten Amazon Web Services (AWS) Access Keys (AKIA), wachtwoorden en sneeuwvlok gerelateerde toegangstokens.
UNC6395 heeft ook een operationeel beveiligingsbewustzijn aangetoond door het verwijderen van banen op het gebied van query, hoewel Google organisaties aanspoort om relevante logboeken te beoordelen op bewijs van gegevensblootstelling, naast het intrekken van API -toetsen, roterende referenties en verder onderzoek uitvoeren om de omvang van het compromis te bepalen.
SalesLoft zei in een advies dat op 20 augustus 2025 werd uitgegeven, dat het een beveiligingsprobleem in de drift -applicatie heeft geïdentificeerd en dat het proactief verbindingen tussen drift en Salesforce heeft ingetrokken. Het incident heeft geen invloed op klanten die niet integreren met Salesforce.
“Een dreigingsacteur gebruikte oAuth -referenties om gegevens te exfiltreren van de verkoopinstanties van onze klanten,” zei SalesLoft. “De dreigingsacteur heeft vragen uitgevoerd om informatie op te halen die verband houdt met verschillende Salesforce -objecten, waaronder cases, accounts, gebruikers en kansen.”
Het bedrijf beveelt ook aan dat beheerders hun Salesforce-verbinding opnieuw autoriseren om de integratie opnieuw in te schakelen. De exacte schaal van de activiteit is niet bekend. SalesLoft zei echter dat het alle getroffen partijen op de hoogte heeft gesteld.
In een verklaring dinsdag zei Salesforce dat een “klein aantal klanten” werd beïnvloed, waarin staat dat het probleem voortkomt uit een “compromis van de verbinding van de app”.
“Bij het detecteren van de activiteit, SalesLoft, in samenwerking met Salesforce, ongeldige actieve toegang en vernieuwing van tokens en verwijderde drift van AppExchange. Vervolgens hebben we getroffen klanten op de hoogte gebracht,” voegde Salesforce toe.
De ontwikkeling komt omdat Salesforce -instanties een actief doelwit zijn geworden voor financieel gemotiveerde bedreigingsgroepen zoals UNC6040 en UNC6240 (aka Shinyhunters), waarvan de laatste sindsdien de handen heeft aangesloten bij Scattered Spider (AKA UNC3944) om de eerste toegang te beveiligen.
“Het meest opmerkelijk aan de UNC6395 -aanvallen is zowel de schaal als de discipline,” zei Cory Michal, CSO van Appomni. “Dit was geen eenmalige compromis; honderden Salesforce-huurders van specifieke interessante organisaties waren het doelwit met behulp van gestolen oauth-tokens, en de aanvaller heeft methodisch gevraagd en geëxporteerde gegevens in veel omgevingen.”
“Ze demonstreerden een hoog niveau van operationele discipline, voerden gestructureerde zoekopdrachten uit, zoeken specifiek naar referenties en proberen zelfs hun sporen te behandelen door banen te verwijderen. De combinatie van schaal, focus en Tradecraft maakt deze campagne opvallen.”
Michal wees er ook op dat veel van de gerichte en gecompromitteerde organisaties zelf beveiligings- en technologiebedrijven waren, wat aangeeft dat de campagne een “openingsbeweging” kan zijn als onderdeel van een bredere strategie voor supply chain -aanval.
“Door eerst leveranciers en dienstverleners te infiltreren, hebben de aanvallers zichzelf in positie gezet om stroomafwaartse klanten en partners te draaien,” voegde Michal eraan toe. “Dat maakt dit niet alleen een geïsoleerde SaaS -compromis, maar mogelijk de basis voor een veel grotere campagne gericht op het benutten van de vertrouwensrelaties die bestaan in de technologische supply chain.”
