Inni i håndboken for stemmefisking: Fremveksten av UNC6040 Vishing Group
Table of Contents
En ny aktør i nettkriminalitetsarenaen
En nettkriminalitetsgruppe med navnet UNC6040 har dukket opp som en fremtredende kraft i sosial manipulering. Denne økonomisk drevne operasjonen, identifisert av Googles trusselintelligensteam , har fokusert angrepene sine på bedrifter som bruker Salesforce , den populære skybaserte plattformen for kundeforholdsstyring (CRM). Det som skiller UNC6040 fra andre, er deres spesialiserte bruk av talebasert phishing – ofte kalt «vishing» – en taktikk som utnytter menneskelig interaksjon over telefonen for å lure ansatte til å gi fra seg sensitiv informasjon.
Selv om cybertrusler ofte er avhengige av programvaresårbarheter, snur UNC6040 på hodet ved å målrette menneskene bak systemene. Ved å utgi seg for å være intern IT-støtte, overtaler gruppen ansatte til ubevisst å kompromittere sine egne organisasjoner. Denne praktiske, stemmebaserte tilnærmingen gir et lag med troverdighet, spesielt i en tid med fjernarbeid der ansatte kan være mer vant til å snakke med ukjent støttepersonell.
Sosial manipulering møter Salesforce
Kjernen i UNC6040s kampanjer ligger et forseggjort knep som involverer et Salesforce-verktøy kalt Data Loader. Dette verktøyet brukes vanligvis til å importere og eksportere store mengder data. Angriperne modifiserer det, kamuflerer applikasjonen under navn som «My Ticket Portal», og veileder ofrene til å autorisere den gjennom det offisielle Salesforce-grensesnittet.
Når den ondsinnede appen er godkjent, fungerer den som en bakdør inn i organisasjonens CRM-miljø, og gir UNC6040 direkte tilgang til verdifulle kundedata. Bedraget stopper ikke der. Angriperne bruker ofte dette fotfestet til å ekspandere sidelengs, og bevege seg videre til andre interne systemer som Okta, Microsoft 365 og Workplace. Det er en dominoeffekt – som starter med en telefonsamtale og ender med utbredt dataeksponering.
Mer enn bare datatyveri
Konsekvensene av UNC6040s aktivitet strekker seg langt utover stjålne data. I utvalgte tilfeller har gruppen eller dens tilknyttede selskaper returnert måneder senere med utpressingskrav, og brukt den stjålne informasjonen som et pressmiddel. For å forsterke presset hevder de å ha forbindelser til ShinyHunters , et kjent hackerkollektiv, selv om en direkte tilknytning ikke er bekreftet.
Denne utsatte utpressingsstrategien antyder en kalkulert tilnærming, muligens i samarbeid med andre aktører innen nettkriminalitet. Den fremhever også den langsiktige risikoen som slike brudd utgjør. Organisasjoner vil kanskje ikke merke den fulle effekten før lenge etter den første kompromitteringen, noe som gir angriperne tid til å utforske verdien og potensielle bruksområder for de stjålne dataene.
Ikke en isolert trussel
UNC6040 opererer ikke i et vakuum. Taktikkene deres overlapper med andre nettkriminalitetsgrupper, som Scattered Spider, som er en del av et løst organisert nettverk kjent som The Com. Disse forbindelsene tyder på at vishing har blitt en vanlig metode blant økonomisk motiverte nettkriminelle.
Det som er spesielt bemerkelsesverdig er hvordan disse gruppene tilpasser tradisjonelle phishing-teknikker til moderne arbeidsplassdynamikk. Med mange bedrifter som er avhengige av ekstern IT-støtte og outsourcede brukerstøtter, vekker ikke lenger tilstedeværelsen av en ukjent stemme på telefonen røde flagg. Denne normaliseringen av eksterne samhandlinger gir angripere mer handlingsrom.
Hvorfor dette er viktig nå
Salesforce, som var klar over den økende trusselen, utstedte en advarsel i mars 2025 og advarte kundene om disse taktikkene. Ifølge selskapet er det ingen bevis for en sårbarhet i plattformen. I stedet er angrepene avhengige av å utnytte individuelle brukeres manglende bevissthet om cybersikkerhet. I alle rapporterte tilfeller brukte angriperne sosial manipulering – ikke tekniske utnyttelser – for å bryte forsvaret.
Denne utviklingen understreker det skiftende landskapet innen nettsikkerhet. Etter hvert som teknologiplattformer herder systemene sine, flytter angripere fokuset til de mykere målene: menneskene. Talebasert phishing blander gammeldags bedrag med moderne verktøy, noe som beviser at selv høyteknologiske miljøer er sårbare for lavteknologisk manipulasjon.
Hvordan organisasjoner kan reagere
Fremveksten av UNC6040 er en vekker for bedrifter i alle størrelser. Selv om brannmurer og antivirusverktøy fortsatt er viktige, kan de ikke forsvare seg mot en overbevisende telefonsamtale. Opplæring av ansatte er nå et kritisk lag i forsvaret. Organisasjoner må lære opp ansatte til å gjenkjenne røde flagg, som uventede IT-forespørsler, uvanlige appautorisasjoner eller press om å handle raskt.
Videre kan tekniske sikkerhetstiltak – som arbeidsflyter for appgodkjenning, flerfaktorautentisering og begrensede tilgangskontroller – bidra til å begrense konsekvensene hvis sosial manipulering lykkes. Overvåking av uvanlig appaktivitet og stramme inn integrasjonstillatelser i plattformer som Salesforce er nå et must, ikke noe som er kjekt å ha.
Konklusjon
UNC6040 representerer en voksende klasse av cybertrusler som utnytter tillit og menneskelig atferd snarere enn programvarefeil. Kampanjene deres minner oss om at cybersikkerhet ikke bare er en teknisk utfordring – det er en menneskelig en. Etter hvert som taktikker for phishing med stemme blir mer sofistikerte, må organisasjoner investere like mye i bevissthet som i teknologi for å forsvare seg mot dem. Oppfordringen kan høres ut som hjelp, men som UNC6040 har vist, kan det være starten på noe langt mer skadelig.
