Una campaña de robo de datos de gran alcance ha afectado a la plataforma de automatización de ventas Salesloft, aprovechando tokens OAuth y de actualización vinculados al agente de chat AI Drift para acceder a información sensible de clientes en Salesforce.

Investigadores del Google Threat Intelligence Group y Mandiant han atribuido esta campaña al actor de amenazas conocido como UNC6395. La actividad, que se desarrolló desde el 8 hasta al menos el 18 de agosto de 2025, se centró en instancias de clientes de Salesforce conectadas mediante tokens OAuth comprometidos del aplicativo de terceros Salesloft Drift.

Se observó que los atacantes exportaron grandes volúmenes de datos de múltiples instancias corporativas de Salesforce. Los datos robados probablemente incluyen claves de acceso AWS (AKIA), contraseñas y tokens relacionados con Snowflake, lo que podría permitir un acceso adicional a los entornos de las víctimas. De manera notable, UNC6395 mostró conciencia de seguridad operacional al eliminar trabajos de consulta para ocultar rastros de su actividad.

En respuesta, Salesloft emitió un aviso el 20 de agosto de 2025, confirmando un problema de seguridad en la aplicación Drift y revocando de manera proactiva las conexiones entre Drift y Salesforce. Los clientes que no integran Salesforce no se vieron afectados. Se recomienda a los administradores reautenticar la conexión de Salesforce para restaurar la funcionalidad de integración.

Salesforce confirmó que un “pequeño número de clientes” se vio afectado debido a un compromiso en la conexión de la aplicación. Tras la detección, se invalidaron los tokens de acceso y actualización activos y Drift fue retirado de AppExchange. Los clientes afectados fueron notificados de manera inmediata.

Esta campaña pone de relieve cómo los grupos de amenazas motivados financieramente están apuntando cada vez más a plataformas SaaS. Los expertos destacan la escala, el enfoque y la disciplina operativa de UNC6395. Se atacaron metódicamente cientos de tenants de Salesforce, se buscaron credenciales específicas y se realizaron esfuerzos para cubrir las huellas, evidenciando un ataque planificado y no un incidente aislado.

Cory Michal, CSO de AppOmni, señaló que muchas de las organizaciones objetivo eran ellas mismas empresas de tecnología y seguridad, lo que sugiere que esta campaña podría representar un movimiento inicial dentro de una estrategia más amplia de ataque a la cadena de suministro. Al comprometer primero a proveedores y servicios, los atacantes se colocan en posición de pivotar hacia clientes y socios downstream, explotando relaciones de confianza en todo el ecosistema tecnológico.

Este incidente subraya la importancia de mantener una seguridad fuerte en OAuth, supervisión constante e incident response en entornos SaaS, especialmente para organizaciones que integran aplicaciones de terceros que manejan datos sensibles.

Fuente: https://thehackernews.com/2025/08/salesloft-oauth-breach-via-drift-ai.html