L’article publié le 25 juillet 2025 par Varonis met en lumière une campagne de vishing sophistiquée menée par le groupe de menaces UNC6040, identifiée par le Threat Intelligence Group de Google. Ce groupe, motivé par des gains financiers, cible les environnements Salesforce pour voler des données et pratiquer l’extorsion.
UNC6040 utilise une méthodologie d’attaque en plusieurs étapes, débutant par des reconnaissances via des systèmes téléphoniques automatisés et des appels en direct où ils se font passer pour le support IT. Les victimes sont incitées à installer des versions modifiées du Salesforce Data Loader, déguisées en outils légitimes comme ‘My Ticket Portal’, permettant ainsi aux attaquants d’obtenir un accès non autorisé aux données sensibles.
Une fois l’accès obtenu, le groupe procède à des mouvements latéraux en ciblant les environnements Okta, Workplace, et Microsoft 365, récoltant des identifiants tout en contournant les politiques de sécurité. Les défenses techniques recommandées incluent l’implémentation d’une MFA résistante au phishing, des contrôles de connexion basés sur l’IP, des audits d’applications connectées, le déploiement de Salesforce Shield, et l’utilisation d’analyses comportementales pour détecter des modèles d’autorisation et d’accès aux données inhabituels.
Cet article est une analyse de menace visant à informer les organisations des méthodes utilisées par UNC6040 et à recommander des mesures de sécurité pour se protéger contre ces menaces de social engineering.
🔗 Source originale : https://www.varonis.com/blog/salesforce-vishing-threat-unc604
🖴 Archive : https://web.archive.org/web/20250726092410/https://www.varonis.com/blog/salesforce-vishing-threat-unc604