A campanha de roubo de dados foi adulterada com o Seltsloft, que foi vinculado ao roubo de juramento e atualização de fichas com seu agente de bate -papo de inteligência artificial à deriva. A campanha, graças ao ator ameaçado conhecido como UNC 6395, e conhecido pelo Grupo e Mandiente do Google Ameaças, começou no início de 8 de agosto e continuou até 18 de agosto de 2025.
Durante esse período, os invasores direcionaram os padrões do cliente da força de vendas nos quais foram utilizados os tokens adulterações associados ao aplicativo Salcoloft Drift. Pesquisadores do setor de segurança cibernética relataram que os atores viram exportações de grandes quantidades de dados de vários padrões de vendas corporativas, incluindo a chave de acesso à Amazon Web Services (ACS) e tokens de toxinas relacionadas a flocos de neve.
Além da sofisticação de sua operação, a UNC 6395 mostrou conscientização sobre a segurança operacional, formando os trabalhos de consulta. O Google aconselhou as organizações afetadas a revisar o LS GGS relevante para obter evidências potenciais de contato com dados e tomar medidas imediatas, como chaves da API e credenciais canceladas.
A Celsloft aceita questões de segurança relacionadas a um aplicativo de desvio em um consultor emitido em 20 de agosto de 2025. A empresa disse que cancelou ativamente as conexões entre o Drift e o Salesforce e deixou claro que os clientes que não se coordenam com o Salesforce não são afetados. Em sua comunicação, Selesloft observou, “um ator ameaçador usou credenciais da OAATH para excluir dados dos padrões de vendas por vendas de nossos clientes”, vários objetos do Salesforce Objetos, incluindo casos, contas, usuários e oportunidades.
O Salesforce confirmou que “pequeno número de clientes” foram afetados e graças à liquidação da conexão do aplicativo. A empresa aceitou uma resposta rápida da Cellloft, que inclui refrescante cess de acesso ativo e tokens e remover o desvio da troca de ápice enquanto notifica os clientes afetados.
Isso reflete a tendência relacionada ao evento, pois os padrões do Salesforce se tornaram recentemente objetivos cada vez mais atraentes para grupos de ameaças economicamente motivados, incluindo UNC 6040 e UNC 6240, conhecidos como Shinhunters. Este último fez parceria com outro ator, espalhado Spider (também conhecido como UNC 3944) para aumentar sua estratégia de acesso ao acesso.
Corey Mitchell, CSO do Apomon, enfatizou a importância da campanha UNC 6395 devido à sua escala e abordagem metodológica. “Esta não era uma avaliação F de consultamento único; centenas de vendas para inquilinos de instituições de interesse especializadas foram direcionadas”, disse ele, publicando consultas estruturadas em busca de credenciais pelos atacantes. Os alarmes foram arrecadados nesta campanha, especialmente porque muitas organizações direcionadas se especializam em segurança e tecnologia e indicam que essa pode ser a etapa inicial em uma estratégia abrangente de ataque da cadeia de suprimentos.
Ao se infiltrar em fornecedores e prestadores de serviços, os atacantes se colocam para que seus clientes e parceiros acessem cess. “Esta não é apenas uma mãe separada, mas também cria uma grande campanha com o objetivo de explorar as relações de confiança em uma cadeia de suprimentos de tecnologia”, concluiu Mitchell.
