La Oficina Federal de Investigaciones (FBI) de los Estados Unidos ha emitido una alerta instantánea para publicar indicadores de compromiso (IOC) relacionados con dos grupos de ciberdelincuentes rastreados como UNC6040 y UNC6395 por una serie de ataques de robo de datos y extorsión.
«Recientemente se ha observado que ambos grupos atacan las plataformas Salesforce de las organizaciones a través de diferentes mecanismos de acceso inicial», dijo el FBI dijo .
UNC6395 es un grupo de amenazas a esto se le ha atribuido una campaña generalizada de robo de datos dirigida a instancias de Salesforce en agosto de 2025 mediante la explotación de tokens de OAuth comprometidos para la aplicación Salesloft Drift. En una actualización publicada esta semana, Salesloft dijo que el ataque fue posible debido a la violación de su cuenta de GitHub entre marzo y junio de 2025.
Como resultado de la infracción, Salesloft ha aislado la infraestructura Drift y desconectó la aplicación de chatbot de inteligencia artificial (IA). La compañía también dijo que está implementando nuevos procesos de autenticación multifactorial y medidas de fortalecimiento de GitHub.
«Nos centramos en el continuo fortalecimiento del entorno de Drift Application», dijo la empresa dijo . «Este proceso incluye la rotación de credenciales, la desactivación temporal de ciertas partes de la aplicación Drift y el fortalecimiento de las configuraciones de seguridad». «En este momento, recomendamos a todos los clientes de Drift que consideren que todas las integraciones de Drift y los datos relacionados pueden estar comprometidos».
El segundo grupo al que el FBI ha llamado la atención es UNC6040 . Se considera que está activo desde octubre de 2024, UNC6040 es el nombre que Google asigna a un grupo de amenazas con motivaciones financieras que ha llevado a cabo campañas de pesca para obtener acceso inicial y secuestrar instancias de Salesforce para robar datos y extorsionar a gran escala.
Estos ataques han implicado el uso de una versión modificada de la aplicación Data Loader de Salesforce y scripts de Python personalizados para violar los portales de Salesforce de las víctimas y extraer datos valiosos. Al menos algunos de los incidentes involucraron actividades de extorsión tras las intrusiones de la UNC6040, y tuvieron lugar meses después del robo inicial de datos.
«Los actores de amenazas de la UNC6040 han utilizado paneles de suplantación de identidad para indicar a las víctimas que las visiten desde sus teléfonos móviles o ordenadores de trabajo durante las llamadas de ingeniería social», dijo el FBI. «Tras obtener acceso, los atacantes de la UNC6040 han utilizado las consultas de la API para extraer grandes volúmenes de datos de forma masiva».
Google ha atribuido la fase de extorsión a otro grupo no categorizado rastreado como UNC6240, que siempre ha afirmado ser el grupo ShinyHunters en correos electrónicos y llamadas a empleados de organizaciones víctimas.
«Además, creemos que los actores de amenazas que utilizan la marca 'ShinyHunters' pueden estar preparándose para intensificar sus tácticas de extorsión mediante el lanzamiento de un sitio de filtración de datos (DLS)», señaló Google el mes pasado. «Es probable que estas nuevas tácticas tengan por objeto aumentar la presión sobre las víctimas, incluidas las relacionadas con las recientes violaciones de datos relacionadas con la UNC6040 de Salesforce».
Desde entonces, ha habido una serie de acontecimientos, siendo el más notable el haciendo equipo de ShinyHunters, Scattered Spider y LAPSUS$ para consolidar y unificar sus esfuerzos criminales . Luego, el 12 de septiembre de 2025, el grupo reclamado en su canal de Telegram «scattered LAPSUS$ hunters 4.0" que van a cerrar.
«Nosotros, LAPSUS$, Trihash, Yurosh, Yaxsh, Wytrozz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari y entre muchos otros, hemos decidido quedarnos a oscuras», dijo el grupo dijo . «Cumplidos nuestros objetivos, ha llegado el momento de decir adiós».
Actualmente no está claro qué llevó al grupo a colgar las botas, pero es posible que la jugada sea un intento de pasar desapercibido y evitar más atención policial .
«El recién creado grupo disperso LAPSUS$ hunters 4.0 dijo que colgaría las botas y 'se quedaría oscurecido' tras denunciar que las fuerzas del orden francesas arrestaron a otra persona equivocada en relación con el grupo de ciberdelincuencia», dijo Sam Rubin, vicepresidente sénior de Unit 42 Consulting and Threat Intelligence, a The Hacker News. «Estas declaraciones rara vez indican una verdadera jubilación».
«Es posible que los arrestos recientes hayan llevado al grupo a pasar desapercibido, pero la historia nos dice que esto suele ser temporal. Grupos como este se dividen, cambian de nombre y resurgen, al igual que ShinyHunters. Incluso si las operaciones públicas se detienen, los riesgos persisten: los datos robados pueden volver a salir a la luz, pueden persistir las puertas traseras que no se detectan y los actores pueden reaparecer con nuevos nombres. El silencio de un grupo de amenazas no equivale a seguridad. Las organizaciones deben permanecer vigilantes y operar partiendo del supuesto de que la amenaza no ha desaparecido, sino que se ha adaptado».