ShinyHunters

Selon The Register, Salesforce a signalé une nouvelle compromission impliquant des applications publiées par Gainsight et connectées à des instances clients Salesforce, avec une attribution probable au groupe ShinyHunters (UNC6240) évoquée par Google Threat Intelligence Group. Salesforce indique que l’activité suspecte « a pu permettre un accès non autorisé » à certaines données clients via la connexion des applications Gainsight. En réponse, l’éditeur a révoqué tous les tokens d’accès et de rafraîchissement associés à ces applications et les a temporairement retirées de l’AppExchange pendant l’enquête. Salesforce précise ne voir « aucune indication » d’une vulnérabilité de sa plateforme, l’activité étant liée à la connexion externe de l’app. ...

Source: Blog de Checkout.com — Dans une déclaration signée par le CTO Mariano Albera (12 novembre 2025), l’entreprise décrit une tentative d’extorsion liée à l’accès non autorisé à un ancien système de stockage cloud tiers utilisé jusqu’en 2020. L’entreprise indique avoir été contactée par le groupe criminel « ShinyHunters » revendiquant l’obtention de données liées à Checkout.com et exigeant une rançon. Après enquête, Checkout.com confirme que des données ont été obtenues via un accès non autorisé à un système de stockage cloud tiers « legacy » qui n’avait pas été correctement décommissionné. ...

Selon BleepingComputer, Oracle a discrètement corrigé une vulnérabilité affectant Oracle E‑Business Suite identifiée comme CVE‑2025‑61884, déjà activement exploitée pour compromettre des serveurs, tandis qu’un exploit PoC a été rendu public par le groupe d’extorsion ShinyHunters. La faille concerne Oracle E‑Business Suite et porte l’identifiant CVE‑2025‑61884. Oracle a effectué un correctif silencieux sans communication appuyée. Oracle a publié un correctif hors-cycle pour CVE-2025-61884, une vulnérabilité d’information disclosure / SSRF dans Oracle E-Business Suite (EBS) exploitée à distance sans authentification, dont un proof-of-concept (PoC) a été diffusé publiquement par le groupe ShinyHunters (Scattered Lapsus$ Hunters). Plusieurs chercheurs et clients confirment que le correctif adresse désormais la composante SSRF utilisée par le PoC. Oracle décrit la faille comme « exploitable à distance sans authentification » et potentiellement capable d’accéder à des ressources sensibles. ...

BleepingComputer rapporte que le FBI a saisi les domaines du forum de hacking BreachForums opéré par le groupe ShinyHunters, utilisé comme portail d’extorsion par fuite de données liées aux attaques touchant Salesforce. L’action, menée en coopération avec les autorités françaises, a abouti à l’affichage d’une bannière de saisie et au basculement des DNS du domaine vers ns1.fbi.seized.gov et ns2.fbi.seized.gov. 🚨 Le domaine breachforums.hn, relancé l’été dernier puis reconverti en site de fuite pour la campagne Salesforce par « Scattered Lapsus$ Hunters » (prétendant regrouper des membres de ShinyHunters, Scattered Spider et Lapsus$), a été rendu inaccessible sur le clearnet, tandis que le miroir Tor a été brièvement interrompu puis rétabli. La saisie a été finalisée avec un bandeau officiel, confirmant la prise de contrôle de l’infrastructure web avant le début des fuites liées à Salesforce. ...

Source et contexte: krebsonsecurity.com (Brian Krebs) rapporte qu’un groupe lié à ShinyHunters/UNC6040 a lancé un site d’extorsion visant Salesforce et des dizaines d’entreprises, après une campagne de vishing en mai 2025 ayant conduit au vol de données Salesforce. Le blog « Scattered LAPSUS$ Hunters » publie les noms de victimes (Toyota, FedEx, Disney/Hulu, UPS, etc.) et menace de divulguer les données volées si une rançon n’est pas payée d’ici le 10 octobre. Google TIG (GTIG) suit le groupe comme UNC6040 et a confirmé qu’un de ses propres environnements Salesforce a été affecté par la campagne. Salesforce indique qu’elle ne paiera pas et qu’aucune vulnérabilité du cœur de la plateforme n’est en cause. 🔓 ...

Selon TechCrunch, un groupe de cybercriminels connu sous les noms Lapsus$, Scattered Spider et ShinyHunters a lancé un site de fuite sur le dark web pour faire pression sur ses victimes, affirmant détenir environ un milliard d’enregistrements volés à des entreprises stockant leurs données clients dans des bases de données cloud hébergées par Salesforce. 🔓 Le site, baptisé « Scattered LAPSUS$ Hunters », vise l’extorsion en menaçant de publier les données dérobées si les victimes ne paient pas. Le message d’accueil appelle les organisations à « nous contacter pour reprendre le contrôle de la gouvernance des données et empêcher leur divulgation publique ». ...

Selon BleepingComputer, un groupe d’extorsion se présentant comme « Scattered Lapsus$ Hunters » (affiliations revendiquées: ShinyHunters, Scattered Spider, Lapsus$) a lancé un nouveau site de fuite de données pour extorquer des organisations touchées par une vague de violations liées à Salesforce. ⚠️ Le site recense 39 entreprises. Pour chaque victime, des échantillons de données exfiltrées depuis des instances Salesforce sont publiés, avec un ultimatum au 10 octobre invitant les victimes à « prévenir la divulgation publique » en les contactant. ...

Selon The Record (Recorded Future News), le FBI a publié un avis flash décrivant une campagne de vol de données et d’extorsion visant des centaines d’organisations, attribuée à Scattered Spider (UNC6395) et ShinyHunters (UNC6040), après compromission d’instances Salesforce. Depuis octobre 2024, les acteurs ont utilisé de l’ingénierie sociale en se faisant passer pour des employés IT auprès des centres d’appels afin d’obtenir des identifiants, puis accéder aux données clients dans Salesforce. Dans d’autres cas, des phishings (emails/SMS) ont permis de prendre le contrôle de téléphones ou ordinateurs d’employés. ...

Source: DataBreaches.net (15 septembre 2025, auteur: Dissent). Contexte: après la révélation d’une exfiltration touchant des marques de Kering, le média publie de nouveaux éléments contredisant une partie de la communication officielle du groupe. Les faits: ShinyHunters affirme avoir acquis des données clients via deux attaques liées à Salesforce: plus de 43 M d’enregistrements (Gucci) et près de 13 M pour Balenciaga, Brioni, Alexander McQueen combinés. Les échantillons fournis à DataBreaches paraissent légitimes et ne contiennent pas d’informations financières (cartes, comptes) selon leur examen. ...

Source: FBI (FLASH-20250912-001), coordonné avec DHS/CISA; TLP:CLEAR. Contexte: alerte du 12 septembre 2025 détaillant des campagnes de vol de données et d’extorsion ciblant les plateformes Salesforce par les groupes UNC6040 et UNC6395. – Aperçu général Les groupes criminels UNC6040 et UNC6395 mènent des intrusions contre des instances Salesforce par des mécanismes d’accès initiaux distincts. Les actions observées incluent le vol massif de données via API, l’autorisation frauduleuse d’applications connectées (OAuth) et des demandes d’extorsion (notamment associées à « ShinyHunters » après les exfiltrations de UNC6040). L’alerte vise à maximiser la sensibilisation et fournit des IOCs et des mesures recommandées. 🚨 ...