La recente ondata di violazioni dei dati ha coinvolto alcune delle aziende più note a livello globale: Qantas, Allianz Life, LVMH e Adidas. Il comune denominatore? Una combinazione letale di social engineering e attacchi mirati alle istanze Salesforce. A rivendicarne la responsabilità è ShinyHunters, gruppo noto nell’ambiente del cybercrime per le sue attività di estorsione basate sulla sottrazione di dati sensibili. Questa volta però, il vettore d’attacco si è dimostrato particolarmente raffinato.
Secondo quanto emerso dalle analisi condotte dal Google Threat Intelligence Group (GTIG), gli attaccanti, identificati come UNC6040, hanno sfruttato il canale telefonico — nella forma di vishing — per impersonare membri del supporto IT aziendale. Lo scopo era convincere i dipendenti delle vittime a collegarsi a una pagina legittima di Salesforce, quella per l’attivazione delle app connesse, e inserire un codice di connessione fornito dall’attaccante. Questo codice non era altro che il legame con una versione malevola dell’app OAuth “Data Loader”, in alcuni casi camuffata con nomi come “My Ticket Portal”, per risultare più credibile. Una volta autorizzata, l’app agiva con i privilegi dell’utente per esfiltrare dati dalle tabelle core di Salesforce, come “Account” e “Contact”.
In parallelo, sono state documentate campagne di phishing che replicavano le interfacce di login di Okta, mirate alla raccolta di credenziali e token MFA. Il tempismo delle rivelazioni è significativo: proprio nelle stesse settimane, sono state confermate compromissioni a danno di più aziende che utilizzavano sistemi di CRM cloud-based. Qantas, ad esempio, non ha esplicitamente citato Salesforce, ma documenti processuali fanno riferimento agli oggetti tipici di questa piattaforma, lasciando pochi dubbi sulla reale natura del sistema compromesso.
È interessante notare che nessuno dei casi noti ha finora portato alla pubblicazione pubblica dei dati esfiltrati. ShinyHunters starebbe optando per un’estorsione diretta, via email, mantenendo i dati come leva contrattuale e firmandosi esplicitamente come gruppo autore degli attacchi. Ma l’eventuale fallimento di queste negoziazioni potrebbe preludere a leak massivi, come già accaduto nel caso delle intrusioni su Snowflake.
Il panorama si complica ulteriormente se si considera l’apparente sovrapposizione con Scattered Spider (UNC3944), altro gruppo noto per attacchi sofisticati in ambito aviation, retail e insurance. A differenza di ShinyHunters, che si limita a esfiltrare dati da specifiche applicazioni cloud, Scattered Spider è solito condurre operazioni full-network, spesso culminanti in ransomware. Eppure, le TTP (tattiche, tecniche e procedure) condivise e i bersagli comuni suggeriscono un’intima connessione tra i due gruppi.
Secondo fonti come Recorded Future, è plausibile che ShinyHunters e Scattered Spider siano composti da membri comuni o collaborino attivamente all’interno delle stesse comunità cybercriminali, come “The Com”. Si tratterebbe di ambienti anglofoni molto organizzati, con specializzazioni precise e una chiara strategia operativa. Alcuni analisti ipotizzano anche legami residui con i membri di LAPSUS$, gruppo ormai disgregato ma che ha lasciato un’eredità tecnica e relazionale evidente nel panorama attuale.
Nel contesto più ampio della sicurezza informatica, questi attacchi mettono in discussione l’affidabilità operativa dei sistemi SaaS e la resistenza psicologica degli utenti finali. I Salesforce Admin e gli InfoSec Officer dovranno rivedere i criteri di autorizzazione delle app OAuth, rafforzare i controlli di accesso e limitare le possibilità di connessione tramite codice, soprattutto in ambienti in cui l’identity management si appoggia a provider esterni come Okta.
Il caso dimostra ancora una volta quanto la sicurezza di una piattaforma non dipenda solo dal codice o dall’infrastruttura, ma soprattutto dalle interazioni umane che le permettono di funzionare. E ShinyHunters, in questo gioco, ha saputo colpire esattamente dove fa più male: nella fiducia tra persone e tecnologia.
💬 Hai già osservato tentativi simili nella tua organizzazione o nel tuo SOC? Pensi che il modello OAuth possa rappresentare una vulnerabilità sottovalutata? Vieni a discuterne con altri professionisti nella nostra community: condividi tecniche di difesa, esempi di attacco o semplicemente il tuo punto di vista. La battaglia si gioca anche sul confronto tra esperti 🛡️🧠
👉 Partecipa alla discussione sul nostro forum