Gainsight ha revelado que la reciente actividad sospechosa dirigida a sus aplicaciones ha afectado a más clientes de lo que se pensaba.
La empresa dijo Salesforce proporcionó inicialmente una lista de los 3 clientes afectados y, a partir del 21 de noviembre de 2025, se «amplió a una lista más grande». No reveló el número exacto de clientes afectados, pero su director ejecutivo, Chuck Ganapathi, dijo «En la actualidad, solo conocemos a unos pocos clientes a los que se les han afectado sus datos».
La novedad se produce cuando Salesforce advirtió sobre la detección de una «actividad inusual» relacionada con las aplicaciones publicadas por Gainsight conectadas a la plataforma, lo que llevó a la empresa a revocar todos los accesos y actualizar los tokens asociados a ellas. La violación ha sido denunciada por un conocido grupo de ciberdelincuencia conocido como ShinyHunters (también conocido como Bling Libra).
Se han promulgado otras medidas cautelares para contener el incidente. Esto incluye que Zendesk, Gong.io y HubSpot suspendan temporalmente sus integraciones con Gainsight y Google inhabilite los clientes de OAuth con URI de devolución de llamadas, como gainsightcloud [.] com. HubSpot, en su propia asesoría, dijo no encontró pruebas que sugirieran que su propia infraestructura o sus clientes se pusieran en peligro.
En una sección de preguntas frecuentes, Gainsight también ha enumerado los productos para los que la capacidad de leer y escribir desde Salesforce no estaba disponible temporalmente -
- Éxito del cliente (CS)
- Comunidad (CC)
- Northpass - Educación para clientes (CE)
- Skilljar (SJ)
- Escalera (ST)
Sin embargo, la empresa hizo hincapié en que Staircase no se ve afectada por el incidente y que Salesforce retiró la conexión con Staircase por precaución en respuesta a una investigación en curso.
Tanto Salesforce como Gainsight han publicado indicadores de riesgo (IOC) asociados a la infracción, con una cadena de agente de usuario, «Salesforce-Multi-Org-Fetcher/1.0", utilizada para el acceso no autorizado y también marcada como empleada anteriormente en la actividad Salesloft Drift.
De acuerdo con información de Salesforce, los esfuerzos de reconocimiento contra clientes con tokens de acceso de Gainsight comprometidos se registraron por primera vez desde la dirección IP «3.239.45 [.] 43» el 23 de octubre de 2025, seguidos de oleadas posteriores de reconocimiento y acceso no autorizado a partir del 8 de noviembre.
Para proteger aún más sus entornos, se solicita a los clientes que sigan los pasos que se indican a continuación:
- Gire las claves de acceso al bucket de S3 y otros conectores, como BigQuery, Zuora, Snowflake, etc., que se utilizan para las conexiones con Gainsight
- Inicie sesión en Gainsight NXT directamente, en lugar de hacerlo a través de Salesforce, hasta que la integración se restablezca por completo
- Restablece las contraseñas de usuario de NXT para los usuarios que no se autentiquen mediante el SSO.
- Vuelva a autorizar cualquier aplicación o integración conectada que dependa de credenciales o tokens de usuario
«Estas medidas son de naturaleza preventiva y están diseñadas para garantizar que su entorno permanezca seguro mientras continúa la investigación», dijo Gainsight.
El desarrollo se produce en el contexto de una nueva plataforma de ransomware como servicio (RaaS) llamada Brillante SP1D3R (también escrito Sh1nysp1d3r) que está siendo desarrollado por Scattered Spider, LAPSUS$ y ShinyHunters (SLSH). Los datos de ZeroFox han revelado que la alianza de ciberdelincuentes ha sido responsable de al menos 51 ciberataques durante el último año.
«Si bien el cifrador ShinySP1D3R tiene algunas características comunes a otros cifradores, también cuenta con características que nunca antes se habían visto en el espacio de RaaS», afirma la empresa.
«Estas incluyen: conectar la función ETWEventWrite para evitar que el Visor de eventos de Windows registre, terminar los procesos que mantienen los archivos abiertos (lo que normalmente evitaría el cifrado) mediante iteraciones sobre los procesos antes de eliminarlos, [y] llenar el espacio libre de una unidad escribiendo datos aleatorios contenidos en un archivo.tmp, que probablemente sobrescriban los archivos eliminados».
ShinySP1D3R también viene con la capacidad de búsqueda para compartir redes abiertas y cifrarlas, así como para propagarlas a otros dispositivos de la red local a través de DeployViaSCM, DeployViaWMI y AttempGPODeployment.
En un informe publicado el miércoles, el periodista independiente de ciberseguridad Brian Krebs dijo la persona responsable de lanzar el ransomware es un miembro principal de SLSH llamado «Rey» (también conocido como @ReyXBF ), quien también es uno de los tres administradores del canal Telegram del grupo. Rey fue anteriormente administrador de Foros de incumplimientos y el sitio web de filtración de datos para HellCat ransomware .
Rey, cuya identidad ha sido desenmascarada como Saif Al-Din Khader, dijo a Krebs que ShinySp1d3r es una repetición de HellCat que se ha modificado con herramientas de inteligencia artificial (IA) y que ha estado cooperando con las fuerzas del orden desde al menos junio de 2025.
«La aparición de un programa de RaaS, junto con una oferta de EaaS [extorsión como servicio], convierte a SLSH en un adversario formidable en términos de la amplia red que pueden lanzar contra las organizaciones que utilizan múltiples métodos para monetizar sus operaciones de intrusión», dijo Matt Brady, investigador de la Unidad 42 de Palo Alto Networks dijo . «Además, el contratación de información privilegiada El elemento añade otra capa contra la que las organizaciones pueden defenderse».