Im Voice-Phishing-Playbook: Der Aufstieg der UNC6040 Vishing Group
Table of Contents
Ein neuer Akteur auf dem Gebiet der Cyberkriminalität
Eine Cybercrime-Gruppe namens UNC6040 hat sich zu einer führenden Kraft im Social Engineering entwickelt. Die vom Threat Intelligence Team von Google identifizierte, finanziell motivierte Organisation konzentriert ihre Angriffe auf Unternehmen, die Salesforce , die beliebte cloudbasierte Customer-Relationship-Management-Plattform (CRM), nutzen. Das Besondere an UNC6040 ist der spezialisierte Einsatz von Voice-Phishing – allgemein als „Vishing“ bezeichnet – einer Taktik, die die menschliche Interaktion am Telefon ausnutzt, um Mitarbeiter zur Preisgabe vertraulicher Informationen zu verleiten.
Während Cyberbedrohungen oft auf Software-Schwachstellen beruhen, dreht UNC6040 den Spieß um und nimmt die Menschen hinter den Systemen ins Visier. Indem sie sich als interner IT-Support ausgeben, bringt die Gruppe Mitarbeiter dazu, unwissentlich ihre eigenen Organisationen zu kompromittieren. Dieser praxisorientierte, sprachbasierte Ansatz sorgt für zusätzliche Glaubwürdigkeit, insbesondere im Zeitalter der Remote-Arbeit, in dem Mitarbeiter möglicherweise eher daran gewöhnt sind, mit unbekanntem Supportpersonal zu sprechen.
Social Engineering trifft Salesforce
Im Zentrum der Kampagnen von UNC6040 steht ein ausgeklügelter Trick, der ein Salesforce-Dienstprogramm namens Data Loader nutzt. Dieses Tool wird typischerweise zum Importieren und Exportieren großer Datenmengen verwendet. Die Angreifer modifizieren es, tarnen die Anwendung unter Namen wie „My Ticket Portal“ und leiten die Opfer dazu an, sie über die offizielle Salesforce-Schnittstelle zu autorisieren.
Nach der Freigabe fungiert die bösartige App als Hintertür in die CRM-Umgebung des Unternehmens und ermöglicht UNC6040 direkten Zugriff auf wertvolle Kundendaten. Doch damit nicht genug. Die Angreifer nutzen diesen Angriffspunkt oft, um sich lateral auszubreiten und auf andere interne Systeme wie Okta, Microsoft 365 und Workplace zuzugreifen. Es ist ein Dominoeffekt – angefangen bei einem Telefonanruf bis hin zur umfassenden Datenfreigabe.
Mehr als nur Datendiebstahl
Die Folgen der Aktivitäten von UNC6040 gehen weit über den Datendiebstahl hinaus. In einigen Fällen meldeten sich die Gruppe oder ihre Verbündeten Monate später mit Erpressungsforderungen zurück und nutzten die gestohlenen Informationen als Druckmittel. Um den Druck zu erhöhen, behaupteten sie Verbindungen zu ShinyHunters , einem bekannten Hackerkollektiv, obwohl eine direkte Verbindung nicht bestätigt wurde.
Diese verzögerte Erpressungsstrategie deutet auf ein kalkuliertes Vorgehen hin, möglicherweise in Abstimmung mit anderen Cybercrime-Akteuren. Sie verdeutlicht auch das langfristige Risiko solcher Sicherheitsverletzungen. Unternehmen spüren die vollen Auswirkungen möglicherweise erst lange nach dem ersten Angriff. Angreifer haben so Zeit, den Wert und die potenziellen Verwendungsmöglichkeiten der gestohlenen Daten zu erkunden.
Keine isolierte Bedrohung
UNC6040 agiert nicht im luftleeren Raum. Seine Taktiken überschneiden sich mit denen anderer Cybercrime-Gruppen, wie beispielsweise Scattered Spider, Teil eines lose organisierten Netzwerks namens The Com. Diese Verbindungen deuten darauf hin, dass Vishing zu einer gängigen Methode finanziell motivierter Cyberkrimineller geworden ist.
Besonders bemerkenswert ist, wie diese Gruppen traditionelle Phishing-Techniken an die moderne Arbeitswelt anpassen. Da viele Unternehmen auf Remote-IT-Support und ausgelagerte Helpdesks angewiesen sind, löst eine unbekannte Stimme am Telefon keine Alarmglocken mehr aus. Diese Normalisierung der Remote-Interaktion gibt Angreifern mehr Handlungsspielraum.
Warum das jetzt wichtig ist
Salesforce war sich der wachsenden Bedrohung bewusst und gab im März 2025 eine Warnung heraus , um Kunden vor diesen Taktiken zu warnen. Laut Angaben des Unternehmens gibt es keine Hinweise auf eine Schwachstelle in seiner Plattform. Stattdessen nutzen die Angriffe das mangelnde Cybersicherheitsbewusstsein einzelner Nutzer aus. In allen gemeldeten Fällen nutzten Angreifer Social Engineering – nicht technische Exploits –, um die Abwehrmaßnahmen zu durchbrechen.
Diese Entwicklung unterstreicht den Wandel der Cybersicherheitslandschaft. Während Technologieplattformen ihre Systeme absichern, richten Angreifer ihren Fokus auf die leichteren Ziele: die Menschen. Voice-Phishing kombiniert traditionelle Täuschung mit modernen Werkzeugen und beweist, dass selbst hochtechnologische Umgebungen anfällig für Manipulationen mit einfachen Mitteln sind.
Wie Organisationen reagieren können
Der Aufstieg von UNC6040 ist ein Weckruf für Unternehmen jeder Größe. Firewalls und Antiviren-Tools sind zwar weiterhin unverzichtbar, können aber einen überzeugenden Telefonanruf nicht abwehren. Die Schulung der Mitarbeiter ist heute eine entscheidende Verteidigungsebene. Unternehmen müssen ihre Mitarbeiter darin schulen, Warnsignale wie unerwartete IT-Anfragen, ungewöhnliche App-Berechtigungen oder den Druck, schnell zu handeln, zu erkennen.
Darüber hinaus können technische Sicherheitsvorkehrungen – wie App-Genehmigungsworkflows, Multi-Faktor-Authentifizierung und eingeschränkte Zugriffskontrollen – dazu beitragen, die Folgen erfolgreicher Social Engineering-Angriffe einzudämmen. Die Überwachung ungewöhnlicher App-Aktivitäten und die Verschärfung der Integrationsberechtigungen in Plattformen wie Salesforce sind mittlerweile unverzichtbar und nicht mehr nur ein nettes Extra.
Fazit
UNC6040 steht für eine wachsende Klasse von Cyberbedrohungen, die Vertrauen und menschliches Verhalten ausnutzen, statt Softwarefehler zu verursachen. Die Kampagnen erinnern uns daran, dass Cybersicherheit nicht nur eine technische, sondern auch eine menschliche Herausforderung ist. Da Voice-Phishing-Taktiken immer ausgefeilter werden, müssen Unternehmen gleichermaßen in Bewusstsein und Technologie investieren, um sich dagegen zu schützen. Der Aufruf mag hilfreich klingen, doch wie UNC6040 gezeigt hat, könnte er der Beginn von etwas weitaus Schlimmerem sein.
