La Oficina Federal de Investigación de los Estados Unidos (FBI) ha emitido una alerta flash para liberar indicadores de compromiso (COI) asociados con dos grupos cibercriminales rastreados como UNC6040 y UNC6395 para una cadena de robos de datos y ataques de extorsión. «Recientemente se ha observado que ambos grupos se dirigen a las plataformas Salesforce de las organizaciones a través de diferentes mecanismos de acceso inicial», dijo el FBI. UNC6395 es un grupo de amenazas que se le ha atribuido una campaña de robo de datos generalizada que se dirige a las instancias de Salesforce en agosto de 2025 al explotar los tokens OAuth comprometidos para la aplicación SalesLoft Drift. En una actualización emitida esta semana, Salesloft dijo que el ataque fue posible debido a la violación de su cuenta de GitHub desde marzo hasta junio de 2025. Como resultado de la violación, SalesLoft ha aislado la infraestructura de deriva y ha tomado la aplicación de chatbot de inteligencia artificial (IA) fuera de línea. La compañía también dijo que está en el proceso de implementación de nuevos procesos de autenticación multifactor y medidas de endurecimiento de GitHub. «Estamos enfocados en el endurecimiento continuo del entorno de aplicación de deriva», dijo la compañía. «Este proceso incluye credenciales de rotación, deshabilitar temporalmente ciertas partes de la aplicación de deriva y fortalecer las configuraciones de seguridad». «En este momento, estamos aconsejando a todos los clientes de deriva que traten todas y cada una de las integraciones de deriva y los datos relacionados como potencialmente comprometidos». El segundo grupo al que el FBI ha llamado la atención es UNC6040. Se evalúa que está activo desde octubre de 2024, UNC6040 es el nombre asignado por Google a un clúster de amenazas motivado financieramente que se ha dedicado a las campañas de Vishing para obtener acceso inicial y secuestro de instancias de Salesforce para robo y extorsión de datos a gran escala. Estos ataques han involucrado el uso de una versión modificada de la aplicación de cargador de datos de Salesforce y los scripts de Python personalizados para violar los portales de Salesforce de las víctimas y exfiltrar datos valiosos. Al menos algunos de los incidentes han involucrado actividades de extorsión después de las intrusiones de UNC6040, y tienen lugar meses después del robo de datos iniciales. «Los actores de amenaza de UNC6040 han utilizado paneles de phishing, ordenando a las víctimas que visiten desde sus teléfonos móviles o trabajan computadoras durante las llamadas de ingeniería social», dijo el FBI. «Después de obtener acceso, los actores de amenaza de UNC6040 han utilizado consultas API para exfiltrar grandes volúmenes de datos a granel». Google ha atribuido la fase de extorsión a otro clúster sin categoría rastreado como UNC6240, que ha afirmado constantemente ser el grupo Shinyhunters en correos electrónicos y llamados a empleados de organizaciones víctimas. «Además, creemos que los actores de amenaza que usan la marca ‘Shinyhunters’ pueden estar preparándose para aumentar sus tácticas de extorsión mediante el lanzamiento de un sitio de fuga de datos (DLS)», señaló Google el mes pasado. «Es probable que estas nuevas tácticas tengan la intención de aumentar la presión sobre las víctimas, incluidas las asociadas con las infracciones de datos relacionadas con la fuerza de ventas recientes de UNC6040». Desde entonces, ha habido una gran cantidad de desarrollos, el más notable es el equipo de Shinyhunters, Spiders Spider y Lapsus $ para consolidar y unificar sus esfuerzos criminales. Luego, el 12 de septiembre de 2025, el grupo afirmó en su canal Telegram «dispersado Lapsus $ cazadores 4.0» que están cerrando. «Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Prosx, Pertinax, Kurosh, Clown, Intelbroker, Spiders Spider, Yukari y entre muchos otros, han decidido ir oscurecer», dijo el grupo. «Nuestros objetivos han sido cumplidos, ahora es el momento de decir adiós». Actualmente no está claro qué llevó al grupo a colgar sus botas, pero es posible que el movimiento sea un intento de estar bajo y evitar más atención de la aplicación de la ley. «El recién formado grupo de Lapsus $ Hunters 4.0 dijo que está colgando las botas y» oscurecer «después de que alegó que la policía francesa arrestó a otra persona equivocada en relación con el grupo de delitos cibernéticos», dijo Sam Rubin, vicepresidente senior de consultoría y inteligencia de amenazas de la Unidad 42, a The Hacker News. «Estas declaraciones rara vez señalan una verdadera jubilación». «Los arrestos recientes pueden haber llevado al grupo a estar bajo, pero la historia nos dice que esto a menudo es temporal. Grupos como este astillador, cambio de marca y resurgimiento, al igual que Shinyhunters. Incluso si las operaciones públicas se detienen, los riesgos permanecen: los datos robados pueden resurgir, las puestas no detectadas pueden persistir y los actores pueden volver a emerger bajo los nuevos nombres. El silencio de un grupo de amenazas no puede ser la igualdad de seguridad. suponiendo que la amenaza no ha desaparecido, solo adaptada «.