L’FBI ha recentemente lanciato un allarme rivolto a tutte le aziende che utilizzano Salesforce, a seguito di una serie di attacchi informatici condotti dai gruppi UNC6040 e UNC6395, specializzati nel furto di dati e nell’estorsione. Secondo le analisi, entrambi i gruppi hanno preso di mira le piattaforme Salesforce sfruttando diverse tecniche di accesso iniziale, compromettendo così la sicurezza di numerose organizzazioni.

UNC6395: compromissione tramite OAuth e GitHub

Il gruppo UNC6395 si è distinto per una campagna di furto dati su larga scala, avvenuta nell’agosto 2025, attraverso la compromissione dei token OAuth dell’applicazione Salesloft Drift. Questo è stato possibile grazie alla violazione dell’account GitHub di Salesloft nei mesi precedenti. In seguito all’incidente, Salesloft ha isolato l’infrastruttura Drift e ha messo offline il chatbot AI, adottando nuove misure di autenticazione a più fattori e rafforzando la sicurezza di GitHub. L’azienda raccomanda a tutti i clienti Drift di considerare come potenzialmente compromessi sia le integrazioni sia i dati collegati.

UNC6040: vishing e furto dati su vasta scala

UNC6040, attivo almeno da ottobre 2024, è noto per attacchi con finalità economiche, utilizzando tecniche di vishing per ottenere l’accesso alle piattaforme Salesforce e sottrarre dati su vasta scala. Questi attacchi fanno uso di una versione modificata dell’applicazione Salesforce Data Loader e script Python personalizzati per automatizzare il furto di dati tramite query API. Spesso, dopo la sottrazione dei dati, segue una fase di estorsione che può avvenire anche a distanza di mesi. Google attribuisce tale fase a un altro gruppo denominato UNC6240, che si presenta come ShinyHunters nelle comunicazioni con le vittime.

Alleanze tra gruppi criminali e rischi futuri

Recenti sviluppi hanno visto la collaborazione tra ShinyHunters, Scattered Spider e LAPSUS$ per unificare le attività criminali sotto un’unica alleanza. Tuttavia, il 12 settembre 2025, questi gruppi hanno annunciato improvvisamente la cessazione delle operazioni e l’intenzione di “andare nell’ombra”, probabilmente per evitare ulteriori attenzioni delle forze dell’ordine a seguito di recenti arresti. Gli esperti sottolineano che tali dichiarazioni non significano una reale fine delle minacce: i gruppi possono frammentarsi, cambiare nome e tornare attivi, mentre i dati rubati e le backdoor possono riemergere in futuro.

Per le organizzazioni rimane fondamentale mantenere alta la vigilanza e rafforzare le misure di sicurezza, considerando che il silenzio di un gruppo cybercriminale non equivale mai a una scomparsa definitiva della minaccia.