Source: FBI (FLASH-20250912-001), coordonné avec DHS/CISA; TLP:CLEAR. Contexte: alerte du 12 septembre 2025 détaillant des campagnes de vol de données et d’extorsion ciblant les plateformes Salesforce par les groupes UNC6040 et UNC6395.

– Aperçu général Les groupes criminels UNC6040 et UNC6395 mènent des intrusions contre des instances Salesforce par des mécanismes d’accès initiaux distincts. Les actions observées incluent le vol massif de données via API, l’autorisation frauduleuse d’applications connectées (OAuth) et des demandes d’extorsion (notamment associées à « ShinyHunters » après les exfiltrations de UNC6040). L’alerte vise à maximiser la sensibilisation et fournit des IOCs et des mesures recommandées. 🚨

– Détails UNC6040 Depuis octobre 2024, UNC6040 recourt à la social engineering (vishing) en se faisant passer pour le support IT auprès des centres d’appels afin d’obtenir des identifiants et des codes MFA, ou de pousser les employés à autoriser des applications connectées malicieuses (souvent une variante modifiée de Salesforce Data Loader). Les victimes sont dirigées vers la page d’approbation des connected apps (ex. https://login.salesforce.com/setup/connect) durant l’appel. Une fois autorisées, ces apps obtiennent des tokens OAuth émis par Salesforce, ce qui bypasse des défenses classiques (MFA, reset de mot de passe, monitoring de login) et permet l’accès, les requêtes et l’exfiltration en vrac via API. Les acteurs créent ces apps dans des comptes d’essai Salesforce, compliquant la détection. Certaines victimes reçoivent ensuite des emails d’extorsion attribués à « ShinyHunters », avec des délais variables (jours à mois) après l’exfiltration.

– Détails UNC6395 En août 2025, UNC6395 a exploité des tokens OAuth compromis associés à l’application Salesloft Drift (chatbot IA intégrable à Salesforce) pour compromettre des instances Salesforce et exfiltrer des données via l’intégration tierce. Le 20 août 2025, Salesloft et Salesforce ont révoqué tous les access et refresh tokens actifs avec l’application Drift, coupant l’accès issu de cette intégration.

– IOCs • UNC6040 – Adresses IP: 13.67.175.79, 20.190.130.40, 20.190.151.38, 20.190.157.160, 20.190.157.98, 23.145.40.165, 23.145.40.167, 23.145.40.99, 23.162.8.66, 23.234.69.167, 23.94.126.63, 31.58.169.85, 31.58.169.92, 31.58.169.96, 34.86.51.128, 35.186.181.1, 37.19.200.132, 37.19.200.141, 37.19.200.154, 37.19.200.167, 37.19.221.179, 38.22.104.226, 45.83.220.206, 51.89.240.10, 64.95.11.225, 64.95.84.159, 66.63.167.122, 67.217.228.216, 68.235.43.202, 68.235.46.22, 68.235.46.202, 68.235.46.151, 68.235.46.208, 68.63.167.122, 69.246.124.204, 72.5.42.72, 79.127.217.44, 83.147.52.41, 87.120.112.134, 94.156.167.237, 96.44.189.109, 96.44.191.141, 96.44.191.157, 104.223.118.62, 104.193.135.221, 141.98.252.189, 146.70.165.47, 146.70.168.239, 146.70.173.60, 146.70.185.47, 146.70.189.47, 146.70.189.111, 146.70.198.112, 146.70.211.55, 146.70.211.119, 146.70.211.183, 147.161.173.90, 149.22.81.201, 151.242.41.182, 151.242.58.76, 163.5.149.152, 185.141.119.136, 185.141.119.138, 185.141.119.151, 185.141.119.166, 185.141.119.168, 185.141.119.181, 185.141.119.184, 185.141.119.185, 185.209.199.56, 191.96.207.201, 198.44.129.56, 198.44.129.88, 195.54.130.100, 196.251.83.162, 198.244.224.200, 198.54.130.100, 198.54.130.108, 198.54.133.123, 205.234.181.14, 206.217.206.14, 206.217.206.25, 206.217.206.26, 206.217.206.64, 206.217.206.84, 206.217.206.104, 206.217.206.124, 208.131.130.53, 208.131.130.71, 208.131.130.91, 31.58.169.96, 64.94.84.78, 64.95.11.225, 163.5.149.152, 192.198.82.235 • UNC6040 – URLs/Links: Login[.]salesforce[.]com/setup/connect?user_code=aKYF7V5N; Login.salesforce.com/setup/connect?user_code=8KCQGTVU; https://help[victim][.]com; https://login[.]salesforce[.]com/setup/connect; http://64.95.11[.]112/hello.php; 91.199.42.164/login • UNC6395 – Adresses IP: 208.68.36.90, 44.215.108.109, 154.41.95.2, 176.65.149.100, 179.43.159.198, 185.130.47.58, 185.207.107.130, 185.220.101.133, 185.220.101.143, 185.220.101.164, 185.220.101.167, 185.220.101.169, 185.220.101.180, 185.220.101.185, 185.220.101.33, 192.42.116.179, 192.42.116.20, 194.15.36.117, 195.47.238.178, 195.47.238.83 • UNC6395 – User-Agent: Salesforce-Multi-Org-Fetcher/1.0; Salesforce-CLI/1.0; python-requests/2.32.4; Python/3.11 aiohttp/3.12.15

– TTPs observés • Social engineering/vishing des centres d’appels en se faisant passer pour le support IT. • Sollicitation d’identifiants et codes MFA; guidage vers l’approbation d’applications connectées malicieuses (OAuth) pour Salesforce. • Utilisation ou modification de Salesforce Data Loader; création d’apps dans des comptes d’essai Salesforce. • Exfiltration de données en vrac via API; extorsion ultérieure attribuée à « ShinyHunters ». • Exploitation de tokens OAuth compromis liés à l’app Drift (Salesloft) et intégration tierce à Salesforce; révocation des tokens par Salesloft/Salesforce le 20/08/2025.

– Mesures recommandées (extraites de l’alerte) • Former les centres d’appels contre le phishing; exiger une MFA résistante au phishing. • Appliquer AAA et le moindre privilège; restreindre par IP; surveiller l’usage API et les sessions. • Revoir les intégrations tierces; rotations des clés/API/identifiants/tokens; surveiller les signes d’exfiltration.

Il s’agit d’une alerte technique TLP:CLEAR du FBI fournissant des IOCs et des TTPs sur des campagnes actives, avec l’objectif principal d’aider à la détection et à la défense.

🔗 Source originale : https://www.ic3.gov/CSA/2025/250912.pdf