Dentro il manuale del phishing vocale: l'ascesa del gruppo di vishing UNC6040
Table of Contents
Un nuovo protagonista nel mondo della criminalità informatica
Un gruppo di criminalità informatica denominato UNC6040 si è affermato come una forza di spicco nel mondo dell'ingegneria sociale. Identificata dal team Threat Intelligence di Google, questa organizzazione a scopo finanziario ha concentrato i suoi attacchi sulle aziende che utilizzano Salesforce , la popolare piattaforma di gestione delle relazioni con i clienti (CRM) basata su cloud. Ciò che distingue UNC6040 è il suo utilizzo specializzato del phishing vocale, comunemente chiamato "vishing", una tattica che sfrutta l'interazione umana al telefono per indurre i dipendenti a rivelare informazioni sensibili.
Mentre le minacce informatiche spesso si basano su vulnerabilità software, UNC6040 capovolge la situazione prendendo di mira le persone dietro i sistemi. Impersonando il supporto IT interno, il gruppo persuade i dipendenti a compromettere inconsapevolmente le proprie organizzazioni. Questo approccio pratico e vocale aggiunge un ulteriore livello di credibilità, soprattutto nell'era del lavoro da remoto, in cui i dipendenti potrebbero essere più abituati a parlare con personale di supporto non familiare.
L'ingegneria sociale incontra Salesforce
Al centro delle campagne di UNC6040 c'è un elaborato stratagemma che coinvolge un'utilità Salesforce chiamata Data Loader. Questo strumento viene in genere utilizzato per importare ed esportare grandi volumi di dati. Gli aggressori lo modificano, mascherando l'applicazione con nomi come "My Ticket Portal" e guidando le vittime ad autorizzarla tramite l'interfaccia ufficiale di Salesforce.
Una volta approvata, l'app dannosa funge da backdoor nell'ambiente CRM dell'organizzazione, consentendo a UNC6040 di accedere direttamente ai preziosi dati dei clienti. L'inganno non finisce qui. Gli aggressori spesso sfruttano questa posizione per espandersi lateralmente, passando ad altri sistemi interni come Okta, Microsoft 365 e Workplace. È un effetto domino che inizia con una telefonata e termina con l'esposizione diffusa dei dati.
Più di un semplice furto di dati
Le conseguenze dell'attività di UNC6040 vanno ben oltre i dati rubati. In alcuni casi, il gruppo o i suoi affiliati sono tornati mesi dopo con richieste di estorsione, usando le informazioni rubate come leva. Per amplificare la pressione, affermano di avere legami con ShinyHunters , un noto collettivo di hacker, sebbene un'affiliazione diretta non sia stata confermata.
Questa strategia di estorsione ritardata suggerisce un approccio calcolato, possibilmente in coordinamento con altri attori del crimine informatico. Evidenzia inoltre il rischio a lungo termine rappresentato da tali violazioni. Le organizzazioni potrebbero non percepirne appieno l'impatto fino a molto tempo dopo la compromissione iniziale, dando agli aggressori il tempo di esplorare il valore e i potenziali utilizzi dei dati rubati.
Non una minaccia isolata
UNC6040 non opera in modo isolato. Le sue tattiche si sovrappongono a quelle di altri gruppi di criminalità informatica, come Scattered Spider, parte di una rete poco organizzata nota come The Com. Queste connessioni suggeriscono che il vishing sia diventato un metodo di riferimento tra i criminali informatici motivati da interessi economici.
Ciò che è particolarmente degno di nota è il modo in cui questi gruppi adattano le tecniche di phishing tradizionali alle dinamiche del mondo del lavoro moderno. Con molte aziende che si affidano al supporto IT da remoto e agli help desk esternalizzati, la presenza di una voce sconosciuta al telefono non desta più alcun allarme. Questa normalizzazione delle interazioni da remoto offre agli aggressori più spazio di manovra.
Perché questo è importante adesso
Salesforce, consapevole della crescente minaccia, ha emesso un avviso a marzo 2025, avvisando i clienti di queste tattiche. Secondo l'azienda, non ci sono prove di vulnerabilità nella sua piattaforma. Piuttosto, gli attacchi si basano sullo sfruttamento della scarsa consapevolezza dei singoli utenti in materia di sicurezza informatica. In tutti i casi segnalati, gli aggressori hanno utilizzato tecniche di ingegneria sociale, non exploit tecnici, per violare le difese.
Questo sviluppo evidenzia il mutevole panorama della sicurezza informatica. Man mano che le piattaforme tecnologiche rafforzano i loro sistemi, gli aggressori stanno spostando l'attenzione su obiettivi più facili: le persone. Il phishing vocale combina inganni tradizionali con strumenti moderni, dimostrando che anche gli ambienti ad alta tecnologia sono vulnerabili alla manipolazione a basso contenuto tecnologico.
Come possono rispondere le organizzazioni
L'avvento della norma UNC6040 è un campanello d'allarme per le aziende di tutte le dimensioni. Sebbene firewall e antivirus rimangano essenziali, non possono difendersi da una telefonata convincente. La formazione dei dipendenti è ora un livello di difesa fondamentale. Le organizzazioni devono formare il personale a riconoscere i segnali d'allarme, come richieste IT inaspettate, autorizzazioni insolite per le app o pressioni per agire rapidamente.
Inoltre, misure di sicurezza tecniche, come flussi di lavoro di approvazione delle app, autenticazione a più fattori e controlli di accesso limitati, possono contribuire a contenere le conseguenze in caso di successo dell'ingegneria sociale. Il monitoraggio di attività insolite nelle app e il rafforzamento delle autorizzazioni di integrazione in piattaforme come Salesforce sono ormai indispensabili, non più optional.
Conclusione
UNC6040 rappresenta una classe crescente di minacce informatiche che puntano sulla fiducia e sul comportamento umano, piuttosto che sui difetti del software. Le sue campagne ci ricordano che la sicurezza informatica non è solo una sfida tecnica, ma anche umana. Con l'aumentare della sofisticatezza delle tattiche di phishing vocale, le organizzazioni devono investire in pari misura in consapevolezza e tecnologia per difendersi. La chiamata potrebbe sembrare un aiuto, ma come ha dimostrato UNC6040, potrebbe essere l'inizio di qualcosa di molto più dannoso.
