Le Federal Bureau of Investigation (FBI) a publié le 12 septembre 2025 une alerte FLASH détaillant les opérations de deux groupes cybercriminels, UNC6040 et UNC6395, qui s’attaquent aux instances Salesforce afin d’en exfiltrer des données et d’extorquer des organisations.
Cette alerte, à destination des professionnels de la cybersécurité (CERT, SOC, RSSI), décrit les techniques d’accès initial, les méthodes d’exfiltration de données, les contournements des mécanismes d’authentification utilisés par ces acteurs, ainsi que les indicateurs de compromission observés et les mesures de remédiation recommandées.
Vecteurs d’accès initiaux
UNC6040 privilégie les attaques par ingénierie sociale. Actif depuis au moins octobre 2024, ce groupe recourt à la technique du voice phishing (vishing) pour tromper le personnel des centres d’assistance des entreprises ciblées. Les opérateurs d’UNC6040 se font passer pour des techniciens du support informatique et appellent le service client ou d’assistance en prétextant résoudre un problème de connectivité ou clôturer un ticket technique. Sous ce faux prétexte, ils amènent les employés à réaliser des actions leur permettant de prendre pied sur le Salesforce de l’entreprise. Concrètement, les acteurs peuvent diriger la victime vers une page web de hameçonnage lors de l’appel (par exemple en lui demandant de s’y connecter depuis son téléphone ou son poste), afin de dérober ses identifiants de connexion. Dans certains cas, les opérateurs d’UNC6040 vont jusqu’à demander directement les identifiants et le code d’authentification multifacteur de l’employé, qu’ils utilisent alors pour accéder à l’instance Salesforce et y ajouter une application connectée malveillante.
Très souvent, ils abusent du mécanisme des “connected apps” de Salesforce : l’employé trompé autorise l’installation d’une application tierce falsifiée (souvent présentée comme l’outil légitime Salesforce Data Loader), ce qui génère un jeton OAuth que les attaquants pourront exploiter.
UNC6395, de son côté, s’appuie sur une compromission de jetons d’accès OAuth issus d’une intégration tierce. En août 2025, ce groupe a mené une campagne de vol de données à grande échelle en exploitant des tokens OAuth compromis de l’application Salesloft Drift, un chatbot à intelligence artificielle intégré à Salesforce. Contrairement à UNC6040, UNC6395 n’a pas besoin de contacter directement les victimes : en obtenant ces jetons d’accès tiers (à la suite, par exemple, d’une faille chez le fournisseur de l’application), les attaquants disposent d’emblée d’un accès à distance aux environnements Salesforce de multiples organisations. Ils peuvent ainsi s’y connecter via l’application tierce légitime déjà autorisée, sans aucune interaction avec les utilisateurs finaux.
Techniques d’exfiltration de données
Une fois l’accès obtenu, les deux groupes procèdent à l’exfiltration de larges volumes de données stockées dans les CRM Salesforce ciblés. Pour UNC6040, l’application connectée malveillante (déguisée en Data Loader ou outil similaire) offre la possibilité d’effectuer des requêtes API massives afin d’extraire des bases de données entières de clients ou d’autres informations sensibles. Des scripts personnalisés (par exemple en Python) et l’API Salesforce sont utilisés pour automatiser ces exportations de données en vrac.
Dans le cas de UNC6395, les attaquants tirent parti des droits conférés par le jeton OAuth compromis de l’application Salesloft : via cette connexion tierce déjà approuvée, ils interrogent l’environnement Salesforce de la victime et exfiltrent les données de manière tout aussi intensive. Les deux groupes cherchent ainsi à dérober un maximum d’informations (données client, données internes, etc.) dans un but lucratif.
L’alerte du FBI souligne qu’une partie de ces intrusions s’accompagne d’une tentative d’extorsion. En particulier, plusieurs victimes compromises par UNC6040 ont reçu, après l’exfiltration des données, des courriels de chantage se réclamant du groupe “ShinyHunters”. Les messages exigent un paiement en cryptomonnaie en échange du silence des attaquants, sous peine de diffusion publique des données volées. Ces demandes de rançon sont survenues dans des délais variables – parfois quelques jours seulement après l’intrusion, parfois plusieurs mois plus tard – rendant la menace persistante pour les entreprises touchées.
Contournement des mécanismes d’authentification
Les méthodes employées par UNC6040 et UNC6395 permettent de déjouer les protections d’authentification traditionnelles. Dans le scénario d’UNC6040, le fait de faire autoriser une application OAuth malveillante par un utilisateur légitime bypasse les contrôles de sécurité tels que l’authentification multifacteur (MFA), les renouvellements de mot de passe obligatoires ou même la surveillance classique des connexions. Étant donné que le jeton OAuth obtenu est émis par Salesforce lui-même pour une application approuvée, toute activité malveillante ultérieure via ce canal peut apparaître comme du trafic légitime d’une intégration approuvée, échappant ainsi aux alertes de sécurité. De même, lorsqu’UNC6040 parvient à soutirer directement les codes MFA des victimes par ruse, il neutralise de fait la protection multifacteur.
Du côté d’UNC6395, l’utilisation de jetons OAuth volés pour une application officiellement autorisée revient également à contourner la phase de connexion interactive : les attaquants accèdent aux données sans avoir à passer par le processus normal d’authentification des utilisateurs de Salesforce, ce qui met en échec le MFA et les autres contrôles d’accès sur ces comptes.
Indicateurs de compromission identifiés
Pour aider les défenseurs, le FBI fournit dans son alerte une liste d’indicateurs de compromission (IOC) liés à ces deux campagnes. Ces IOCs incluent notamment de nombreuses adresses IP suspectes ayant servi aux connexions ou aux extractions de données par les attaquants, plusieurs domaines et URL malveillants utilisés dans les attaques de phishing ou par les outils de commande-control, ainsi que des chaînes de caractères d’agent-utilisateur (User-Agent) caractéristiques des outils employés. Par exemple, certaines signatures User-Agent liées à l’activité d’UNC6040 suggèrent l’utilisation du client Salesforce CLI ou de scripts automatisés basés sur Python. Ces indicateurs, partagés en format clair, sont destinés à aider les équipes de sécurité à rechercher d’éventuelles traces de ces intrusions dans leurs journaux et systèmes.
Mesures de remédiation recommandées
Dans son alerte, le FBI émet également des recommandations concrètes pour renforcer la posture de sécurité des organisations face à ces modes d’attaque :
- Former les équipes de support et d’assistance (notamment les centres d’appels) à reconnaître et signaler les tentatives de phishing par téléphone (vishing) ou autres formes d’ingénierie sociale.
- Mettre en place une authentification multifacteur résistante au hameçonnage sur le plus de services possible. Il est conseillé d’adopter des solutions MFA robustes (par exemple sans codes OTP aisément interceptables) afin de réduire les risques de contournement par phishing.
- Implémenter des contrôles AAA (Authentification, Autorisation, Accounting) en appliquant le principe du moindre privilège. Chaque utilisateur ou compte applicatif ne devrait disposer que des permissions minimales nécessaires, afin de limiter l’impact potentiel en cas de compromission.
- Restreindre les accès réseau par adresse IP et surveiller de près l’utilisation des API. Par exemple, mettre en place des plages d’IP approuvées pour accéder aux ressources sensibles (comme Salesforce) et détecter toute utilisation anormale des API pouvant signaler une exfiltration (volumes de données inhabituels, requêtes à des horaires inattendus, etc.).
- Surveiller les journaux réseau et l’activité des sessions utilisateurs (navigateurs, applications connectées) pour repérer des comportements anormaux ou des signes d’exfiltration de données. Une vigilance particulière doit être apportée aux accès via des applications tierces autorisées.
- Auditer et sécuriser les intégrations tierces connectées à l’environnement Salesforce. Il est fortement recommandé d’examiner toutes les applications tierces ayant accès au CRM et de révoquer ou régénérer leurs jetons d’accès, clés API et identifiants. Cette rotation des secrets garantit qu’un jeton potentiellement compromis ne reste pas exploitable indéfiniment.
En appliquant ces mesures, les organisations renforcent significativement leurs défenses contre les campagnes telles qu’UNC6040 et UNC6395. Le FBI insiste par ailleurs sur l’importance de signaler tout incident ou activité suspecte aux autorités compétentes (Internet Crime Complaint Center ou antennes locales du FBI), afin d’aider à faire progresser les investigations en cours et la compréhension collective de ces menaces.
Sources
- FBI Flash Alert (12/09/2025) – Cyber Criminal Groups UNC6040 and UNC6395 Compromising Salesforce Instances for Data Theft and Extortion : https://www.ic3.gov/CSA/2025/250912.pdf
- SecurityAffairs – FBI warns of Salesforce attacks by UNC6040 and UNC6395 groups : https://securityaffairs.com/182159/cyber-crime/fbi-warns-of-salesforce-attacks-by-unc6040-and-unc6395-groups.html
- Cyber Security News – FBI Unveils IOCs for Cyber Attacks Targeting Salesforce Instances for Data Exfiltration : https://cybersecuritynews.com/fbi-iocs-salesforce-instances/
