UNC6040

L’article publié le 25 juillet 2025 par Varonis met en lumière une campagne de vishing sophistiquée menée par le groupe de menaces UNC6040, identifiée par le Threat Intelligence Group de Google. Ce groupe, motivé par des gains financiers, cible les environnements Salesforce pour voler des données et pratiquer l’extorsion. UNC6040 utilise une méthodologie d’attaque en plusieurs étapes, débutant par des reconnaissances via des systèmes téléphoniques automatisés et des appels en direct où ils se font passer pour le support IT. Les victimes sont incitées à installer des versions modifiées du Salesforce Data Loader, déguisées en outils légitimes comme ‘My Ticket Portal’, permettant ainsi aux attaquants d’obtenir un accès non autorisé aux données sensibles. ...

Selon le Google Threat Intelligence Group (GTIG), le groupe de menace UNC6040 mène des campagnes de vishing pour compromettre les instances Salesforce des entreprises, avec pour objectif le vol de données à grande échelle et l’extorsion. Ce groupe, motivé par des gains financiers, a réussi à tromper des employés en se faisant passer pour le support informatique lors d’appels téléphoniques convaincants. Les attaques d’UNC6040 consistent principalement à manipuler les victimes pour qu’elles autorisent une application connectée malveillante sur le portail Salesforce de leur organisation. Cette application, souvent une version modifiée du Data Loader de Salesforce, n’est pas autorisée par Salesforce. Lors d’un appel de vishing, l’attaquant guide la victime pour qu’elle approuve cette application, ce qui permet à UNC6040 d’accéder et d’exfiltrer des informations sensibles directement depuis les environnements clients Salesforce compromis. ...