Google ha revelado los detalles de un clúster de amenazas motivado financieramente que dijo que «se especializa» en campañas de phishing de voz (también conocido como Vishing) diseñadas para violar las instancias de la fuerza de ventas de las organizaciones por robo de datos a gran escala y posterior extorsión.
El equipo de inteligencia de amenazas del gigante tecnológico está rastreando la actividad bajo el apodo UNC6040que dijo exhibe características que se alinean con grupos de amenazas con lazos con un colectivo de delitos cibernéticos en línea conocido como Com.
«En los últimos meses, UNC6040 ha demostrado un éxito repetido en la violación de las redes al hacer que sus operadores se esfuerzen por el personal de soporte de TI para convencer a los compromisos de ingeniería social basados en el teléfono», dijo la compañía en un informe compartido con The Hacker News.
Este enfoque, agregó el Grupo de Inteligencia de Amenazas de Google (GTIG), ha tenido el beneficio de engañar a los empleados de habla inglesa en las acciones de realizar acciones que brindan a los actores de amenaza acceder o conducir al intercambio de información valiosa, como las credenciales, que luego se utilizan para facilitar el robo de datos.
Un aspecto notable de las actividades de UNC6040 implica el uso de una versión modificada del cargador de datos de Salesforce de que las víctimas son engañadas para autorizar para conectarse con el portal de Salesforce de la organización durante el ataque de Vishing. Data Loader es una aplicación utilizada para importar, exportar y actualizar datos a granel dentro de la plataforma Salesforce.
Específicamente, los atacantes guían al objetivo para visitar la página de configuración de la aplicación conectada de Salesforce y aprueban la versión modificada de la aplicación del cargador de datos que conlleva un nombre o marca diferente (por ejemplo, «mi portal de boletos») de su contraparte legítima. Esta acción les otorga acceso no autorizado a los entornos de clientes de Salesforce y los datos de exfiltrados.
Más allá de la pérdida de datos, los ataques sirven como un trampolín para UNC6040 para moverse lateralmente a través de la red de la víctima, y luego acceder y cosechar información desde otras plataformas como Okta, Workplace y Microsoft 365.
Los incidentes seleccionados también han involucrado actividades de extorsión, pero solo «varios meses» después de que se observaron las intrusiones iniciales, lo que indica un intento de monetizar y beneficiar los datos robados presumiblemente en asociación con un actor de segunda amenaza.
«Durante estos intentos de extorsión, el actor ha reclamado afiliación con el conocido grupo de piratería Shinyhunters, probablemente como un método para aumentar la presión sobre sus víctimas», dijo Google.
La UNC6040 se superpone con los grupos vinculados a la COM proviene de la orientación de las credenciales de OKTA y el uso de la ingeniería social a través del soporte de TI, una táctica que ha sido adoptada por una araña dispersa, otro actor de amenaza de motivación financiera que forma parte del colectivo organizado suelto organizado.
La campaña de Vishing no ha pasado desapercibida por Salesforce, que, en marzo de 2025, advirtió que los actores de amenaza utilizan tácticas de ingeniería social para hacerse pasar por el personal de soporte de TI por teléfono y engañan a los empleados de sus clientes para que regalen sus credenciales o aprueben la aplicación de cargador de datos modificada.
«Se les ha informado atraer a los empleados de nuestros clientes y a los trabajadores de soporte de terceros a páginas de phishing diseñadas para robar credenciales y tokens MFA o pedir a los usuarios que naveguen a la página Login.Salesforce (.) Com/Configuración/Connect para agregar una aplicación conectada maliciosa», dijo la compañía.
«En algunos casos, hemos observado que la aplicación conectada maliciosa es una versión modificada de la aplicación de cargador de datos publicada con un nombre y/o marca diferentes. Una vez que el actor de amenaza obtiene acceso a la cuenta de Salesforce de un cliente o agrega una aplicación conectada, usan la aplicación conectada para exfiltrar datos».
El desarrollo no solo destaca la continua sofisticación de las campañas de ingeniería social, sino que también muestra cómo el personal de apoyo de TI se está dirigiendo cada vez más como una forma de obtener acceso inicial.
«El éxito de campañas como UNC6040, aprovechando estas tácticas de Vishing refinadas, demuestra que este enfoque sigue siendo un vector de amenaza efectivo para grupos motivados financieramente que buscan violar las defensas organizacionales», dijo Google.
«Dado el plazo extendido entre el compromiso inicial y la extorsión, es posible que múltiples organizaciones de víctimas y las víctimas potencialmente posteriores puedan enfrentar demandas de extorsión en las próximas semanas o meses».