Biro Investigasi Federal (FBI) menerbitkan peringatan FLASH alert mengenai dua kelompok peretas, UNC6040 dan UNC6395, yang aktif mengeksploitasi lingkungan Salesforce milik berbagai organisasi untuk mencuri data sensitif dan melakukan pemerasan.
Modus Operandi UNC6040
Menurut laporan Google Threat Intelligence (Mandiant) pada Juni 2025, UNC6040 menggunakan taktik rekayasa sosial dan vishing untuk menipu karyawan agar menyambungkan aplikasi OAuth berbahaya, seperti Salesforce Data Loader versi modifikasi, ke akun perusahaan. Dalam beberapa kasus, pelaku menyamar sebagai staf IT internal melalui aplikasi palsu bernama My Ticket Portal.
Setelah terhubung, aplikasi OAuth berbahaya tersebut digunakan untuk mengekstrak data dalam jumlah besar dari Salesforce, terutama pada tabel “Accounts” dan “Contacts” yang berisi informasi pelanggan. Data hasil curian kemudian dipakai oleh kelompok ShinyHunters dalam upaya pemerasan.
Serangan ini telah memengaruhi sejumlah perusahaan besar, termasuk Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior, dan Tiffany & Co.
Serangan UNC6395
Pada Agustus 2025, gelombang serangan baru muncul dengan memanfaatkan token OAuth dan refresh token curian dari Salesloft Drift. Aktivitas ini dilacak sebagai UNC6395. Target utama mereka adalah data support case dalam Salesforce yang kerap memuat rahasia perusahaan, kredensial, dan token autentikasi seperti AWS keys, password, hingga Snowflake tokens.
Informasi tersebut memungkinkan pelaku memperluas serangan ke lingkungan cloud lain untuk mencuri lebih banyak data. Investigasi Mandiant mengungkap bahwa serangan bermula pada Maret 2025, saat repositori GitHub Salesloft berhasil dikompromikan sehingga token OAuth Drift dapat dicuri.
Akibatnya, banyak perusahaan besar turut terdampak, termasuk Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, hingga Palo Alto Networks.
Afiliasi dengan Grup Ekstorsi Lain
Meskipun FBI tidak menyebut secara resmi pihak di balik serangan ini, kelompok ShinyHunters mengklaim bertanggung jawab bersama afiliasi lain yang menamakan diri Scattered Lapsus$ Hunters. Kelompok ini memiliki keterkaitan dengan geng terkenal seperti Lapsus$ dan Scattered Spider.
Dalam pernyataan terakhir mereka di domain yang terkait dengan BreachForums, para pelaku mengumumkan rencana untuk “menghilang” dari Telegram. Namun, mereka juga mengklaim telah mengakses sistem FBI E-Check dan Google Law Enforcement Request, bahkan memublikasikan tangkapan layar sebagai bukti.
Jika klaim ini benar, akses tersebut dapat memungkinkan mereka berpura-pura sebagai aparat penegak hukum dan mengakses catatan sensitif individu. Hingga kini, FBI menolak berkomentar, sementara Google belum memberikan tanggapan.
Sumber: FBI