Hackers hebben sales automation-platform Salesloft getroffen en via de Drift-integratie met Salesforce OAuth- en refresh tokens buitgemaakt om toegang te krijgen tot klantomgevingen.Â
Tussen 8 en 18 augustus 2025 voerden de aanvallers een grootschalige datadiefstal uit, waarbij zij zich richtten op gevoelige informatie zoals AWS access keys, wachtwoorden en Snowflake-gerelateerde tokens. Volgens Salesloft zijn alleen klanten met de Drift-Salesforce koppeling geraakt. Uit voorzorg zijn alle actieve tokens ingetrokken en moeten beheerders hun integratie opnieuw authenticeren.
Aanvullend onderzoek door Google Threat Intelligence, voorheen Mandiant, wijst op de betrokkenheid van een groep die wordt gevolgd onder de naam UNC6395. Deze groep gebruikte eenmaal verkregen toegang om met SOQL queries gevoelige gegevens uit Salesforce-objects te halen. Daarbij werden onder meer support cases doorzocht op wachtwoorden, secrets en andere gevoelige informatie. Om detectie te bemoeilijken verwijderden de aanvallers query jobs, al bleven logbestanden behouden.
Voor hun infrastructuur maakten de aanvallers gebruik van Tor en hostingproviders als AWS en DigitalOcean. Naast de user-agents die Salesloft publiceerde, is ook Salesforce-CLI/1.0 geïdentificeerd als gebruikt hulpmiddel.
Aanvallers zochten gericht naar credentials
Google adviseert getroffen organisaties hun Salesforce-logs te analyseren. En daarbij te zoeken naar specifieke patronen. Voorbeelden zijn AKIA als indicator voor AWS keys, verwijzingen naar Snowflake, generieke woorden als password, secret en key, en organisatiegebonden login-URL’s voor VPN- of SSO-diensten. Daarnaast wordt het resetten en roteren van credentials als noodzakelijk gezien.
Rond de attributie is verwarring ontstaan. Criminele groep ShinyHunters claimde kort de aanval, maar trok deze bewering later weer in. Google ziet vooralsnog geen bewijs dat ShinyHunters of het verwante Scattered Spider-collectief verantwoordelijk is.
De aanval op Salesloft komt op een moment dat Salesforce-klanten breder worden geviseerd. Volgens Google zijn er in 2025 al meerdere organisaties getroffen door vergelijkbare methoden. Daarbij werden via social engineering of vishing malafide OAuth-apps aan Salesforce-omgevingen gekoppeld. Bekende slachtoffers zijn onder meer Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life en LVMH-dochters Louis Vuitton, Dior en Tiffany & Co.