UNC6040 Groupe Vishing
Des chercheurs en cybersécurité ont découvert un groupe de cybercriminels motivé par des intérêts financiers, identifié sous le nom d'UNC6040, qui s'est taillé une place de choix dans les campagnes de phishing vocal (vishing). Ces attaques sont spécifiquement conçues pour infiltrer les environnements Salesforce, voler des données sensibles à grande échelle et exploiter les informations volées à des fins d'extorsion.
Table des matières
Un visage familier : liens avec le collectif de cybercriminalité « The Com »
Les tactiques et les comportements d'UNC6040 suggèrent des liens avec The Com, un réseau de cybercriminalité en ligne peu structuré. Le groupe partage également des similitudes opérationnelles avec Scattered Spider, un autre acteur du collectif connu pour ses usurpations d'identité auprès du support informatique et son ciblage d'identifiants. Cependant, leurs objectifs finaux diffèrent : Scattered Spider cherche à élargir son accès, tandis qu'UNC6040 vise à exfiltrer des données Salesforce.
L’usurpation d’identité en action : le modus operandi du vishing
Le succès du groupe repose sur son recours à une ingénierie sociale téléphonique très convaincante. En se faisant passer pour des membres du support informatique, souvent anglophones, les opérateurs de l'UNC6040 parviennent à manipuler les employés afin qu'ils transmettent leurs identifiants ou effectuent des actions facilitant l'accès non autorisé aux systèmes de l'entreprise.
Exploiter la confiance : le schéma modifié du chargeur de données Salesforce
Une tactique remarquable consiste à convaincre les victimes d'autoriser une version modifiée du chargeur de données Salesforce, déguisée sous des noms trompeurs comme « Mon portail de tickets ». Cela permet aux attaquants d'accéder à l'interface de l'application connectée de Salesforce, qu'ils exploitent pour voler de vastes quantités de données clients au sein de la plateforme.
Au-delà de Salesforce : mouvement latéral et exploitation plus large
Une fois à l'intérieur, UNC6040 ne s'arrête pas à Salesforce. Les attaquants se déplacent latéralement sur le réseau, collectant des données provenant d'autres plateformes cloud comme Okta, Workplace et Microsoft 365. Cela permet une compromission plus large et accroît la valeur des informations volées.
Paiement différé : tactiques d’extorsion stratégiques
Il est intéressant de noter que les tentatives d'extorsion surviennent souvent des mois après la compromission initiale, ce qui témoigne d'un retard délibéré et stratégique. Ces demandes sont parfois accompagnées d'allégations d'affiliation au célèbre groupe de pirates informatiques ShinyHunters, une manœuvre probablement destinée à amplifier la pression psychologique exercée sur les victimes.
Recon First : Vishing soutenu par une surveillance téléphonique automatisée
L'UNC6040 exploite également des systèmes téléphoniques automatisés avec messages enregistrés et options de menu pour effectuer des reconnaissances. Ces systèmes révèlent les numéros d'assistance interne, les problèmes courants des employés, les noms des applications et les alertes système, des informations cruciales pour élaborer des scénarios d'hameçonnage vocal convaincants.
L’ingénierie sociale à l’ère du travail à distance
Le groupe bénéficie du passage au support informatique à distance, où les employés sont habitués à interagir avec des équipes de support inconnues. Cet environnement crée des conditions idéales pour l'ingénierie sociale trompeuse, surtout lorsqu'elle est associée à une reconnaissance approfondie.
Réponse de Salesforce et avertissements clients
Salesforce a reconnu les attaques en mars 2025, mettant en garde ses clients contre des campagnes d'ingénierie sociale usurpant l'identité du personnel informatique. Les attaquants ont attiré les utilisateurs vers des pages de phishing ou les ont redirigés vers login.salesforce[.]com/setup/connect pour approuver des applications connectées malveillantes, généralement des versions modifiées de Data Loader sous une marque trompeuse.
Aucune vulnérabilité du système : exploiter la faiblesse humaine
Salesforce a souligné que ces incidents résultaient d'une manipulation des utilisateurs, et non de vulnérabilités techniques de ses systèmes. Ces attaques soulignent l'importance de la sensibilisation individuelle et de l'hygiène en matière de cybersécurité, notamment contre les arnaques par hameçonnage vocal.
Menace persistante : un avertissement pour l’avenir
Les tactiques employées par l'UNC6040 démontrent que le vishing demeure une méthode très efficace pour percer les défenses des entreprises. Compte tenu du délai entre l'accès initial et l'extorsion, davantage d'organisations pourraient se retrouver en danger dans les semaines ou les mois à venir. La vigilance et des contrôles internes rigoureux seront essentiels pour atténuer cette menace en constante évolution.
