Selon cstromblad.com (analyse multi-sources par Christoffer Strömblad), UNC6040 est un groupe financier actif depuis au moins décembre 2024, ciblant les environnements Salesforce via des campagnes de vishing afin d’obtenir l’autorisation d’applications connectées et d’exfiltrer des données à grande échelle.

L’article souligne que l’acteur privilégie les secteurs de l’hôtellerie, du retail de luxe et de l’éducation, avec des cibles confirmées supplémentaires dans l’aviation, les services financiers et la technologie. UNC6040 se distingue par sa dépendance à la manipulation sociale plutôt qu’à l’exploitation technique : des appels où les opérateurs usurpent le support IT guident les victimes vers la page d’autorisation d’apps connectées Salesforce en utilisant des codes de connexion. Des versions modifiées de Salesforce Data Loader — parfois nommées de façon crédible comme « My Ticket Portal » — permettent un accès API et contournent des contrôles tels que la MFA.

Les opérations montrent des niveaux de compétence variables (exfiltration complète ou partielle), et l’acteur procède souvent par requêtes de test avant extraction massive. Après la compromission de Salesforce, UNC6040 peut viser Okta, Microsoft 365 et Workplace pour élargir son accès et collecter davantage d’identifiants. Les données ciblées sont surtout des PII clients (nom, date de naissance, adresse, téléphone, métadonnées de compte). En s’appuyant sur des fonctionnalités légitimes de la plateforme, le groupe réduit son empreinte forensique.

Sur l’infrastructure et l’OPSEC, UNC6040 s’appuie majoritairement sur des IP de VPN Mullvad et héberge des panneaux de phishing Okta sur la même infrastructure que ses opérations de vishing. L’usage d’appels API standards Salesforce et des flux OAuth contribue à masquer l’activité malveillante dans le trafic légitime. L’article mentionne environ 20 intrusions réussies, dont une compromission de l’environnement Salesforce de Google via un abus sophistiqué de jetons OAuth, et évoque des liens/collaborations possibles avec ShinyHunters.

TTPs observés 🧰:

  • 📞 Vishing (usurpation de support IT) et ingénierie sociale pour faire autoriser des apps connectées
  • 🧩 Utilisation d’un Data Loader modifié (ex. « My Ticket Portal »)
  • 🔐 Abus d’OAuth et accès API pour exfiltration en masse (requêtes de test puis extraction)
  • 🔁 Mouvement latéral vers Okta, Microsoft 365 et Workplace
  • 🕵️ OPSEC: VPN Mullvad, panneaux de phishing Okta, usage d’outils/fonctionnalités légitimes pour réduire la détection

IOCs: non détaillés dans la source (mentions génériques d’IP Mullvad et de panneaux de phishing Okta). L’article conclut sur une probable extension vers d’autres CRM cloud et une collaboration croissante au sein de l’écosystème criminel, et se présente comme une analyse multi-sources visant à consolider la connaissance de la menace UNC6040.

🧠 TTPs et IOCs détectés

TTPs

[‘Vishing et ingénierie sociale pour faire autoriser des apps connectées’, ‘Utilisation d’un Data Loader modifié’, ‘Abus d’OAuth et accès API pour exfiltration en masse’, ‘Mouvement latéral vers Okta, Microsoft 365 et Workplace’, ‘Utilisation de VPN Mullvad et panneaux de phishing Okta’, ‘Usage d’outils/fonctionnalités légitimes pour réduire la détection’]

IOCs

[‘IP de VPN Mullvad’, ‘Panneaux de phishing Okta’]

🔗 Source originale : https://cstromblad.com/posts/threat-assessment-unc6040/

🖴 Archive : https://web.archive.org/web/20250827090110/https://cstromblad.com/posts/threat-assessment-unc6040/