Salesforce-angripare hotar Google och FBI efter intrång

Salesforce-angripare hotar Google och FBI efter ett stort leveranskedjeintrång kopplat till Salesloft Drift. De cyberkriminella grupperna bakom intrånget—ShinyHunters, LAPSUS$ och Scattered Spider—krävde ett stopp för pågående utredningar samtidigt som de påstod sig ha tillgång till känsliga system.

Vilka angriparna är

Koalitionen av grupper beskrev sig själva som ”oslagbara” i ett offentligt uttalande. De krävde att Google avskedar anställda i sin Threat Intelligence Group och att FBI tar bort 14 agenter som arbetade med ärendet.

Angriparna hävdade också att de infiltrerat Googles nätverk och hotade med att läcka stulen data och avslöja FBI-agenters identiteter om deras krav ignorerades.

Hur intrånget skedde

Angriparna utnyttjade stulna OAuth-tokens från Salesloft Drift-integrationen, ett AI-drivet chattverktyg kopplat till Salesforce. Genom dessa tokens infiltrerade de flera Salesforce-miljöer, inklusive instanser knutna till Google, Zscaler och Victoria’s Secret.

Utredare upptäckte att angriparna stulit AWS-nycklar, Snowflake-tokens och kunders kontouppgifter. Googles Threat Intelligence Group spårade aktiviteten tillbaka till augusti och identifierade UNC6395 som gruppen bakom insamlingen av stulen data från hundratals Salesforce-konton.

Varför detta är viktigt

Denna incident representerar en farlig eskalering inom cyberutpressning. Utöver datastöld hotar angriparna öppet federala utredare och ett av världens största teknikföretag. Kampanjen belyser riskerna med tredjepartsintegrationer, där en komprometterad app kan få konsekvenser för hela företagsmiljöer.

För organisationer understryker intrånget det akuta behovet av att stärka autentiseringskontroller, övervaka åtkomsttokens och genomföra regelbundna revisioner av SaaS-integrationer. Hoten mot Google och FBI visar också hur djärva cyberkriminella grupper har blivit.

Slutsats

Salesforce-angripare hotar Google och FBI i ett djärvt drag som kombinerar datastöld med offentlig skrämseltaktik. Genom att utnyttja stulna OAuth-tokens infiltrerade de profilerade Salesforce-miljöer och eskalerade sina krav till direkta hot. Fallet visar att tokenbaserade intrång och brister i leveranskedjan förblir kritiska risker. Angripare utmanar nu öppet globala institutioner.