Au cœur du phishing vocal : l'essor du groupe de vishing UNC6040

Un nouvel acteur dans le domaine de la cybercriminalité

Un groupe de cybercriminels baptisé UNC6040 s'est imposé comme une force majeure dans le monde de l'ingénierie sociale. Identifié par l'équipe Threat Intelligence de Google, ce groupe à vocation financière a concentré ses attaques sur les entreprises utilisant Salesforce , la célèbre plateforme cloud de gestion de la relation client (CRM). Ce qui distingue UNC6040, c'est son utilisation spécialisée du phishing vocal (communément appelé « vishing »), une tactique qui exploite les interactions humaines par téléphone pour inciter les employés à divulguer des informations sensibles.

Alors que les cybermenaces s'appuient souvent sur des vulnérabilités logicielles, UNC6040 inverse la tendance en ciblant les personnes derrière les systèmes. En se faisant passer pour un support informatique interne, le groupe persuade les employés de compromettre involontairement leur propre organisation. Cette approche pratique et vocale ajoute une couche de crédibilité, surtout à l'ère du télétravail où les employés sont plus habitués à s'adresser à des équipes de support qu'ils ne connaissent pas.

L'ingénierie sociale rencontre Salesforce

Au cœur des campagnes de l'UNC6040 se trouve une ruse élaborée utilisant un utilitaire Salesforce appelé Data Loader. Cet outil est généralement utilisé pour importer et exporter de gros volumes de données. Les attaquants le modifient, déguisant l'application sous des noms tels que « My Ticket Portal » et incitent les victimes à l'autoriser via l'interface officielle de Salesforce.

Une fois approuvée, l'application malveillante agit comme une porte dérobée dans l'environnement CRM de l'organisation, donnant à UNC6040 un accès direct à de précieuses données clients. La tromperie ne s'arrête pas là. Les attaquants utilisent souvent cette porte d'entrée pour étendre leur activité latéralement, en s'attaquant à d'autres systèmes internes comme Okta, Microsoft 365 et Workplace. L'effet domino commence par un appel téléphonique et se termine par une exposition massive des données.

Plus qu'un simple vol de données

Les conséquences de l'activité d'UNC6040 vont bien au-delà du vol de données. Dans certains cas, le groupe ou ses affiliés sont revenus des mois plus tard avec des demandes d'extorsion, utilisant les informations volées comme moyen de pression. Pour accentuer la pression, ils revendiquent des liens avec ShinyHunters , un célèbre collectif de hackers, même si leur affiliation directe n'a pas été confirmée.

Cette stratégie d'extorsion différée suggère une approche calculée, éventuellement coordonnée avec d'autres acteurs de la cybercriminalité. Elle souligne également le risque à long terme que représentent de telles violations. Les organisations peuvent ne ressentir pleinement l'impact que longtemps après la compromission initiale, ce qui laisse aux attaquants le temps d'explorer la valeur des données volées et leurs utilisations potentielles.

Pas une menace isolée

L'UNC6040 n'agit pas en vase clos. Ses tactiques recoupent celles d'autres groupes cybercriminels, comme Scattered Spider, membre d'un réseau peu structuré connu sous le nom de The Com. Ces liens suggèrent que le vishing est devenu une méthode privilégiée par les cybercriminels motivés par l'appât du gain.

Ce qui est particulièrement remarquable, c'est la façon dont ces groupes adaptent les techniques traditionnelles d'hameçonnage aux dynamiques de travail modernes. De nombreuses entreprises ayant recours à l'assistance informatique à distance et à des centres d'assistance externalisés, la présence d'une voix inconnue au téléphone n'est plus un signal d'alarme. Cette normalisation des interactions à distance offre aux attaquants une plus grande marge de manœuvre.

Pourquoi cela est important maintenant

Conscient de la menace croissante, Salesforce a publié un avertissement en mars 2025 pour alerter ses clients de ces tactiques. Selon l'entreprise, aucune vulnérabilité n'a été détectée sur sa plateforme. Les attaques reposent plutôt sur l'exploitation du manque de sensibilisation des utilisateurs à la cybersécurité. Dans tous les cas signalés, les attaquants ont eu recours à l'ingénierie sociale, et non à des exploits techniques, pour percer les défenses.

Cette évolution souligne l'évolution du paysage de la cybersécurité. À mesure que les plateformes technologiques renforcent leurs systèmes, les attaquants se tournent vers des cibles plus vulnérables : les personnes. Le phishing vocal allie tromperie traditionnelle et outils modernes, prouvant que même les environnements high-tech sont vulnérables aux manipulations low-tech.

Comment les organisations peuvent réagir

L'essor de la norme UNC6040 est un signal d'alarme pour les entreprises de toutes tailles. Si les pare-feu et les antivirus restent essentiels, ils ne peuvent pas se défendre contre un appel téléphonique convaincant. La formation des employés est désormais un élément de défense essentiel. Les organisations doivent former leur personnel à reconnaître les signaux d'alerte, tels que les demandes informatiques inattendues, les autorisations d'applications inhabituelles ou la pression d'agir rapidement.

De plus, des mesures de protection techniques, telles que les processus d'approbation des applications, l'authentification multifacteur et les contrôles d'accès restreints, peuvent contribuer à limiter les conséquences d'une ingénierie sociale réussie. La surveillance des activités inhabituelles sur les applications et le renforcement des autorisations d'intégration sur des plateformes comme Salesforce sont désormais indispensables, et non plus superflus.

En résumé

L'UNC6040 représente une catégorie croissante de cybermenaces qui exploitent la confiance et le comportement humain plutôt que les failles logicielles. Ses campagnes nous rappellent que la cybersécurité n'est pas seulement un défi technique, mais aussi humain. Face à la sophistication croissante des tactiques d'hameçonnage vocal, les organisations doivent investir autant dans la sensibilisation que dans les technologies pour s'en protéger. Cet appel peut sembler être une aide, mais comme l'a démontré l'UNC6040, il pourrait être le début d'une situation bien plus dangereuse.

Par Willa
June 5, 2025
Phishing
Français
June 5, 2025
Phishing

Articles Populaires

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 2 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 8 months

Comprendre et atténuer la menace de W32.AIDetectMalware

Il y a 11 months

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 12 months

Programme:Win32/Wacapew.C!ml : un examen plus approfondi de la...

Il y a 7 months

Pourquoi les utilisateurs sont surpris lorsqu'ils trouvent...

Il y a 3 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.