Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) UNC6040 Grupo Vishing

UNC6040 Grupo Vishing

Por Mezo en Suplantación de identidad (phishing)
Traducir a:

Investigadores de ciberseguridad han descubierto un grupo de amenazas con motivaciones económicas, identificado como UNC6040, que se ha forjado un nicho en las campañas de phishing de voz (vishing). Estos ataques están diseñados específicamente para infiltrarse en entornos de Salesforce, robar datos confidenciales a gran escala y utilizar la información robada para extorsionar.

Un rostro familiar: vínculos con el colectivo de ciberdelincuencia 'The Com'

Las tácticas y el comportamiento de UNC6040 sugieren vínculos con The Com, una red informal de ciberdelincuencia en línea. El grupo también comparte similitudes operativas con Scattered Spider, otro actor del colectivo conocido por suplantar la identidad de personal de soporte informático y robar credenciales. Sin embargo, sus objetivos finales difieren: Scattered Spider busca un acceso más amplio, mientras que UNC6040 aspira a exfiltrar datos de Salesforce.

Suplantación de identidad en acción: el modus operandi del vishing

El éxito del grupo se debe a su uso de ingeniería social telefónica altamente convincente. Haciéndose pasar por personal de soporte informático, a menudo con dominio del inglés, los operadores de UNC6040 logran manipular a los empleados para que entreguen credenciales o realicen acciones que faciliten el acceso no autorizado a los sistemas corporativos.

Explotación de la confianza: el esquema modificado del cargador de datos de Salesforce

Una táctica destacada consiste en convencer a las víctimas para que autoricen una versión modificada del Cargador de Datos de Salesforce, camuflada bajo nombres engañosos como "Mi Portal de Tickets". Esto permite a los atacantes acceder a la interfaz de la aplicación conectada de Salesforce, que explotan para robar grandes cantidades de datos de clientes de la plataforma.

Más allá de Salesforce: movimiento lateral y explotación más amplia

Una vez dentro, UNC6040 no se limita a Salesforce. Los atacantes operan lateralmente por la red, recopilando datos de otras plataformas en la nube como Okta, Workplace y Microsoft 365. Esto permite una vulneración más amplia y aumenta el valor de la información robada.

Pago diferido: tácticas estratégicas de extorsión

Curiosamente, los intentos de extorsión a menudo se han producido meses después del ataque inicial, lo que indica una demora deliberada y estratégica. Estas exigencias a veces van acompañadas de declaraciones de afiliación al conocido grupo de hackers ShinyHunters, una maniobra probablemente destinada a aumentar la presión psicológica sobre las víctimas.

Recon First: Vishing respaldado por vigilancia telefónica automatizada

El UNC6040 también utiliza sistemas telefónicos automatizados con mensajes grabados y opciones de menú para recopilar información de reconocimiento. Estos sistemas revelan números de soporte interno, problemas comunes de los empleados, nombres de aplicaciones y alertas del sistema, información crucial para diseñar escenarios de phishing convincentes.

Ingeniería social en la era del teletrabajo

El grupo se beneficia de la transición al soporte informático remoto, donde los empleados están acostumbrados a interactuar con personal de soporte desconocido. Este entorno crea las condiciones ideales para la ingeniería social engañosa, especialmente cuando se combina con un reconocimiento exhaustivo.

Respuesta de Salesforce y advertencias a los clientes

Salesforce reconoció los ataques en marzo de 2025 y advirtió a sus clientes sobre campañas de ingeniería social que suplantaban la identidad de personal de TI. Los atacantes han estado atrayendo a los usuarios a páginas de phishing o dirigiéndolos a login.salesforce[.]com/setup/connect para que autoricen aplicaciones maliciosas conectadas, generalmente versiones modificadas de Data Loader con una marca engañosa.

Sin vulnerabilidad del sistema: Explotando la debilidad humana

Salesforce enfatizó que estos incidentes se debieron a la manipulación de usuarios, no a vulnerabilidades técnicas en sus sistemas. Los ataques ponen de relieve cómo la concienciación individual y la higiene en ciberseguridad siguen siendo líneas de defensa cruciales, especialmente contra las estafas de phishing de voz.

Amenaza persistente: una advertencia para el futuro

Las tácticas empleadas por UNC6040 demuestran que el vishing sigue siendo un método muy eficaz para vulnerar las defensas empresariales. Dado el retraso entre el acceso inicial y la extorsión, más organizaciones podrían verse en riesgo en las próximas semanas o meses. La vigilancia y unos controles internos sólidos serán clave para mitigar esta amenaza en constante evolución.

Tendencias

Mas Visto

Cargando...