Gainsight ha revelado que la reciente actividad sospechosa dirigida a sus aplicaciones ha afectado a más clientes de lo que se pensaba anteriormente.
La compañía dijo que Salesforce inicialmente proporcionó una lista de 3 clientes afectados y que se «amplió a una lista más grande» a partir del 21 de noviembre de 2025. No reveló el número exacto de clientes que se vieron afectados, pero su director ejecutivo, Chuck Ganapathi, dijo que «actualmente conocemos sólo un puñado de clientes cuyos datos se vieron afectados».
El desarrollo se produce cuando Salesforce advirtió sobre una «actividad inusual» detectada relacionada con las aplicaciones publicadas por Gainsight conectadas a la plataforma, lo que llevó a la compañía a revocar todo acceso y actualizar los tokens asociados con ellas. La infracción ha sido reclamada por un notorio grupo de ciberdelincuencia conocido como ShinyHunters (también conocido como Bling Libra).
Se han adoptado otras medidas de precaución para contener el incidente. Esto incluye que Zendesk, Gong.io y HubSpot suspendan temporalmente sus integraciones con Gainsight y que Google deshabilite los clientes OAuth con URI de devolución de llamada como Gainsightcloud(.)com. HubSpot, en su propio aviso, dijo que no encontró evidencia que sugiera ningún compromiso de su propia infraestructura o clientes.
En una pregunta frecuente, Gainsight también enumeró los productos para los cuales la capacidad de leer y escribir desde Salesforce no ha estado disponible temporalmente:
- Éxito del cliente (CS)
- Comunidad (CC)
- Northpass – Educación del cliente (CE)
- Jarra de habilidad (SJ)
- Escalera (ST)
La compañía, sin embargo, enfatizó que Staircase no se ve afectado por el incidente y que Salesforce eliminó la conexión de Staircase por precaución en respuesta a una investigación en curso.
Tanto Salesforce como Gainsight han publicado indicadores de compromiso (IoC) asociados con la infracción, con una cadena de agente de usuario, «Salesforce-Multi-Org-Fetcher/1.0», utilizada para acceso no autorizado, también marcada como empleada anteriormente en la actividad Salesloft Drift.
Según información de Salesforce, los esfuerzos de reconocimiento contra clientes con tokens de acceso de Gainsight comprometidos se registraron por primera vez desde la dirección IP «3.239.45(.)43» el 23 de octubre de 2025, seguidos de oleadas posteriores de reconocimiento y acceso no autorizado a partir del 8 de noviembre.
Para proteger aún más sus entornos, se solicita a los clientes que sigan los pasos a continuación:
- Gire las claves de acceso al depósito S3 y otros conectores como BigQuery, Zuora, Snowflake, etc., utilizados para conexiones con Gainsight
- Inicie sesión en Gainsight NXT directamente, en lugar de a través de Salesforce, hasta que la integración se restablezca por completo.
- Restablezca las contraseñas de usuario de NXT para cualquier usuario que no se autentique mediante SSO.
- Vuelva a autorizar cualquier aplicación o integración conectada que dependa de credenciales o tokens de usuario
«Estas medidas son de naturaleza preventiva y están diseñadas para garantizar que su entorno permanezca seguro mientras continúa la investigación», dijo Gainsight.
El desarrollo se produce en el contexto de una nueva plataforma de ransomware como servicio (RaaS) llamada ShinySp1d3r (también escrita Sh1nySp1d3r) que está siendo desarrollada por Scattered Spider, LAPSUS$ y ShinyHunters (SLSH). Los datos de ZeroFox han revelado que la alianza cibercriminal ha sido responsable de al menos 51 ciberataques durante el año pasado.
«Si bien el cifrador ShinySp1d3r tiene algunas características comunes a otros cifradores, también cuenta con características que nunca antes se habían visto en el espacio RaaS», dijo la compañía.
«Estos incluyen: conectar la función EtwEventWrite para evitar el registro del Visor de eventos de Windows, finalizar procesos que mantienen abiertos los archivos (lo que normalmente evitaría el cifrado) iterando sobre los procesos antes de eliminarlos, (y) llenar el espacio libre en una unidad escribiendo datos aleatorios contenidos en un archivo .tmp, que probablemente sobrescriba cualquier archivo eliminado».
ShinySp1d3r también viene con la capacidad de buscar recursos compartidos de red abiertos y cifrarlos, así como propagarlos a otros dispositivos en la red local a través de implementarViaSCM, implementarViaWMI e tryGPODeployment.
En un informe publicado el miércoles, el periodista independiente de ciberseguridad Brian Krebs dijo que el individuo responsable de liberar el ransomware es un miembro central de SLSH llamado «Rey» (también conocido como @ReyXBF), quien también es uno de los tres administradores del canal Telegram del grupo. Anteriormente, Rey fue administrador de BreachForums y del sitio web de filtración de datos del ransomware HellCat.
Rey, cuya identidad ha sido desenmascarada como Saif Al-Din Khader, le dijo a Krebs que ShinySp1d3r es una repetición de HellCat que ha sido modificado con herramientas de inteligencia artificial (IA) y que ha estado cooperando con las fuerzas del orden desde al menos junio de 2025.
«La aparición de un programa RaaS, junto con una oferta EaaS (extorsión como servicio), convierte a SLSH en un adversario formidable en términos de la amplia red que pueden lanzar contra organizaciones que utilizan múltiples métodos para monetizar sus operaciones de intrusión», dijo Matt Brady, investigador de la Unidad 42 de Palo Alto Networks. «Además, el elemento de reclutamiento interno añade otra capa contra la cual las organizaciones deben defenderse».