(https://media.cybernews.com/images/featured-big/2025/09/The-hackers-behind-recent-attacks-against-Salesforce.jpg)
Tres bandas de ciberdelincuentes juveniles, previamente diezmadas por arrestos, ahora actúan como una sola y se sienten invencibles. Tras atribuirse la responsabilidad de importantes brechas de seguridad vinculadas a instancias de Salesforce, el grupo exige a Google y al FBI que detengan sus investigaciones y despidan a empleados específicos.
Los hackers amenazaron con filtrar la identidad de todos los agentes que investigan a su grupo, que parece ser una coalición informal de tres bandas: ShinyHunters, LAPSUS$ y Scattered Spider.
Desde entonces, han listado a 14 agentes y sus cargos, han instado al director del FBI, Kash Patel, a despedirlos y se han burlado de la agencia por su falta de progreso.
(https://media.cybernews.com/2025/09/fbi-threats.png)
Ese mismo día, emitieron un ultimátum a Sundar Pichai, director ejecutivo de Google, para que despidiera a dos empleados específicos del Grupo de Inteligencia de Amenazas de Google y abandonara las investigaciones sobre ellos. De lo contrario, filtrarían las bases de datos de Google, robadas durante los recientes robos de instancias de Salesforce.
"¡DESTRUIREMOS A USTEDES Y A SU MEGA CORRUPCIÓN!", reza una de las muchas publicaciones dirigidas a Google.
El nuevo canal de Telegram, repleto de burlas infantiles e imprudentes, lenguaje obsceno excesivo, insultos raciales y jerga de internet, dirigió otras amenazas contra muchas otras empresas e individuos, incluyendo a George Kurtz, director ejecutivo de CrowdStrike, e incluso al presidente de Estados Unidos, Donald Trump.
(https://media.cybernews.com/2025/09/google-threats.png)
Los hackers también afirman que ya han vulnerado la seguridad de Google en múltiples ocasiones y que aún tienen acceso a las redes de la compañía, y que están "descargando sus productos uno a uno".
Publicaron una base de datos llamada "Gemini.com" en un mercado ilícito, sucesora de BreachForums confiscado. Sin embargo, no se puede confirmar si las afirmaciones o los datos filtrados son válidos. Hemos enviado un correo electrónico a Google para solicitar sus comentarios e incluiremos su respuesta.
Tokens robados a la venta: muchos "siguen funcionando"
El grupo se atribuye la responsabilidad de la presunta vulneración de Salesloft, una plataforma de marketing conversacional basada en IA. Los tokens de autenticación robados de Salesloft se utilizaron de forma indebida para comprometer las instancias de Salesforce de los clientes. Muchas empresas fueron atacadas, entre ellas Google, Victoria's Secret y Zscaler.
Cómo se informó previamente que las credenciales fueron el objetivo principal de los hackers que atacaron las instancias de Salesforce. Extrajeron claves de cuentas de servicio de Google Cloud Platform, claves de acceso de Amazon Web Services (AWS), contraseñas y tokens de acceso relacionados con Snowflake.
Ahora, los hackers anuncian la venta de credenciales robadas de AWS, Snowflake y otras credenciales de la campaña de Salesloft, afirmando que "algunas aún funcionan" y que tienen demasiadas.
Google advirtió previamente a todos los clientes de Salesloft Drift que consideren cualquier token de autenticación almacenado en la plataforma como potencialmente comprometido. El gigante tecnológico advirtió que los hackers lograron acceder al correo electrónico "desde un número muy reducido de cuentas de Google Workspace".
Durante una campaña de ciberataques de alto perfil contra instancias de Salesforce, el colectivo de hackers que se identifica como "cazadores dispersos de LAPSUS$" "scattered LAPSUS$ hunters" (SLH) tuvo como objetivo a importantes empresas globales.
Los hackers filtraron datos presuntamente pertenecientes a la aseguradora estadounidense Allianz Life y afirmaron haber cometido infracciones en Zscaler, una empresa de ciberseguridad, y ChangeNow, una plataforma de intercambio de criptomonedas.
TransUnion informó a 4,4 millones de clientes que sus datos personales podrían haber sido expuestos. Otros posibles objetivos incluyen Farmers Insurance, Air France, KLM, importantes empresas de telecomunicaciones y muchas otras.
Si bien los hackers muestran una arrogancia extrema hacia las fuerzas del orden, creyéndose "invencibles", también hablan abiertamente de sus tácticas y fallos (por ejemplo, la ejecución de LinPEAS en Crowdstrike, la búsqueda de acceso a VPN/Citrix/Anydesk), exponen disputas internas y posibles objetivos futuros.
(https://media.cybernews.com/2025/09/post-redacted.png)
Brian Krebs, bloguero estadounidense y periodista especializado en seguridad informática, señala que, si bien SLH busca la atención pública, aún no está claro qué atacantes accedieron a los tokens de autenticación de Salesloft Drift ni cómo lo hicieron.
Los tres grupos que componen SLH son conocidos por numerosos ciberataques de alto perfil. Sin embargo, anteriormente fueron objeto de arrestos importantes, y LAPSUS$ fue desmantelado en 2022. El presunto líder de Scattered Spider, conocido como "TylerB", fue arrestado en España, y otro miembro de la banda, Michael Urba (King Bob), pasará 10 años en una prisión federal estadounidense. El número de ShinyHunters se redujo gracias al arresto de las autoridades de individuos clave que dirigían los conocidos BreachForums.
El nuevo canal de Telegram de SLH se lanzó el 28 de agosto y ya cuenta con más de 52 mil suscriptores. Telegram bloqueó el canal del grupo anterior hace más de una semana.
Fuente:
CyberNews
https://cybernews.com/security/salesforce-attackers-threaten-google-fbi/