Redazione RHC : 27 agosto 2025 12:58
Se llevó a cabo una sofisticada campaña de exfiltración de datos dirigida a las instancias de Salesforce de varias empresas, lo que resultó en la exposición de información confidencial de varias organizaciones. Esto se produjo a través de tokens OAuth comprometidos asociados con la aplicación de terceros Salesloft Drift.
El actor de amenazas, identificado como UNC6395, recopiló credenciales y datos confidenciales entre el 8 y el 18 de agosto de 2025. Esto demostró un conocimiento significativo de los procedimientos de seguridad operativa, ya que se ejecutaron consultas SOQL en múltiples objetos de Salesforce.
UNC6395 ejecutó consultas sistemáticas de lenguaje de consulta de objetos de Salesforce (SOQL) para enumerar y extraer datos de objetos críticos de Salesforce, incluyendo casos, cuentas, usuarios y oportunidades. El informe, elaborado por el Grupo de Inteligencia de Amenazas de Google, indica que el atacante utilizó tokens de acceso OAuth y tokens de actualización comprometidos de la aplicación Salesloft Drift para autenticarse en las instancias de Salesforce objetivo.
Salesloft afirmó que el atacante se dirigió específicamente a claves de acceso de AWS (identificadores AKIA), contraseñas, credenciales de Snowflake y otros materiales de autenticación confidenciales almacenados en campos personalizados y objetos estándar de Salesforce.
UNC6395 aprovechó mecanismos legítimos de autenticación OAuth para obtener acceso no autorizado, eludiendo los controles de seguridad tradicionales y dificultando especialmente la detección para las organizaciones afectadas.
Salesforce y Salesloft respondieron revocando todos los tokens OAuth activos asociados con la aplicación Drift el 20 de agosto de 2025, lo que frenó eficazmente el vector de ataque. El análisis posterior a la exfiltración reveló que el actor buscó en los datos extraídos patrones que coincidieran con los formatos de credenciales, lo que indica que el objetivo principal era la recolección de credenciales, en lugar del robo de datos tradicional.
Este vector de ataque aprovecha el marco de autorización OAuth 2.0, que permite a las aplicaciones de terceros acceder a los datos de Salesforce sin exponer directamente las credenciales de los usuarios. El actor demostró sofisticación técnica al ejecutar consultas COUNT para evaluar el volumen de datos antes de la exfiltración:
La aplicación Drift fue posteriormente eliminada de Salesforce AppExchange a la espera de una revisión de seguridad completa.
RedazioneLa semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
Del 6 al 9 de octubre de 2025, Varsovia albergó la 11.ª edición del Desafío Europeo de Ciberseguridad (CECA) . En una reñida competición entre 39 equipos de Estados miembros de la UE, países de...
Un nuevo anuncio publicado en un foro clandestino fue descubierto recientemente por investigadores del laboratorio de inteligencia de amenazas Dark Lab , demostrando claramente cuán activo y peligros...
Tres importantes grupos de ransomware —DragonForce, Qilin y LockBit— han anunciado una alianza. Se trata, en esencia, de un intento de coordinar las actividades de varios operadores importantes de...
