In het Voice Phishing-handboek: de opkomst van UNC6040 Vishing Group
Table of Contents
Een nieuwe speler in de cybercriminaliteitsarena
Een cybercrimegroep met de naam UNC6040 is uitgegroeid tot een prominente speler in de wereld van social engineering. Deze financieel gedreven organisatie, geïdentificeerd door het Threat Intelligence-team van Google, heeft haar aanvallen gericht op bedrijven die Salesforce gebruiken, het populaire cloudgebaseerde CRM-platform (Customer Relationship Management). Wat UNC6040 onderscheidt, is het gespecialiseerde gebruik van voice phishing – beter bekend als "vishing" – een tactiek die gebruikmaakt van menselijke interactie via de telefoon om werknemers ertoe te verleiden gevoelige informatie te verstrekken.
Cyberdreigingen zijn vaak gebaseerd op softwarekwetsbaarheden, maar UNC6040 draait het om en richt zich op de mensen achter de systemen. Door zich voor te doen als interne IT-medewerkers, overtuigt de groep medewerkers om onbewust hun eigen organisatie in gevaar te brengen. Deze praktische, spraakgestuurde aanpak voegt een extra laag geloofwaardigheid toe, vooral in een tijdperk van thuiswerken waarin medewerkers wellicht meer gewend zijn om met onbekend ondersteunend personeel te praten.
Social engineering ontmoet Salesforce
De kern van de campagnes van UNC6040 is een ingewikkelde list met behulp van een Salesforce-hulpprogramma genaamd Data Loader. Deze tool wordt doorgaans gebruikt voor het importeren en exporteren van grote hoeveelheden data. De aanvallers passen de tool aan, vermommen de applicatie onder namen als "My Ticket Portal" en leiden slachtoffers ertoe deze te autoriseren via de officiële Salesforce-interface.
Na goedkeuring fungeert de kwaadaardige app als een achterdeurtje naar de CRM-omgeving van de organisatie, waardoor UNC6040 direct toegang krijgt tot waardevolle klantgegevens. De misleiding stopt daar niet. De aanvallers gebruiken deze positie vaak om zich lateraal uit te breiden en zich te richten op andere interne systemen zoals Okta, Microsoft 365 en Workplace. Het is een domino-effect: het begint met een telefoontje en eindigt met een wijdverspreide blootstelling van gegevens.
Meer dan alleen gegevensdiefstal
De gevolgen van de activiteiten van UNC6040 reiken veel verder dan gestolen gegevens. In sommige gevallen kwamen de groep of haar partners maanden later terug met afpersingseisen, waarbij ze de gestolen informatie als hefboom gebruikten. Om de druk op te voeren, beweren ze banden te hebben met ShinyHunters , een bekend hackerscollectief, hoewel een directe connectie niet is bevestigd.
Deze vertraagde afpersingsstrategie suggereert een berekende aanpak, mogelijk in samenwerking met andere cybercriminelen. Het benadrukt ook het langetermijnrisico dat dergelijke inbreuken met zich meebrengen. Organisaties voelen de volledige impact mogelijk pas lang na de eerste inbreuk, waardoor aanvallers de tijd hebben om de waarde en mogelijke toepassingen van de gestolen gegevens te onderzoeken.
Geen geïsoleerde bedreiging
UNC6040 opereert niet in een vacuüm. De tactieken overlappen met die van andere cybercrimegroepen, zoals Scattered Spider, onderdeel van een losjes georganiseerd netwerk dat bekendstaat als The Com. Deze connecties suggereren dat vishing een veelgebruikte methode is geworden onder financieel gemotiveerde cybercriminelen.
Wat vooral opvalt, is hoe deze groepen traditionele phishingtechnieken aanpassen aan de moderne dynamiek op de werkvloer. Nu veel bedrijven vertrouwen op externe IT-ondersteuning en uitbestede helpdesks, is de aanwezigheid van een onbekende stem aan de telefoon geen reden meer om te alarmeren. Deze normalisering van interacties op afstand geeft aanvallers meer bewegingsvrijheid.
Waarom dit nu belangrijk is
Salesforce, zich bewust van de groeiende dreiging, gaf in maart 2025 een waarschuwing uit om klanten te waarschuwen voor deze tactieken. Volgens het bedrijf zijn er geen aanwijzingen voor een kwetsbaarheid in het platform. De aanvallen draaien in plaats daarvan om het gebrek aan cybersecuritybewustzijn van individuele gebruikers te misbruiken. In alle gemelde gevallen gebruikten aanvallers social engineering – geen technische exploits – om de beveiliging te omzeilen.
Deze ontwikkeling onderstreept het veranderende cybersecuritylandschap. Naarmate technologieplatformen hun systemen versterken, verleggen aanvallers hun focus naar de zachtere doelen: de mens. Voice phishing combineert ouderwetse misleiding met moderne tools, wat bewijst dat zelfs hightechomgevingen kwetsbaar zijn voor lowtechmanipulatie.
Hoe organisaties kunnen reageren
De opkomst van UNC6040 is een wake-upcall voor bedrijven van elke omvang. Hoewel firewalls en antivirusprogramma's essentieel blijven, kunnen ze geen bescherming bieden tegen een overtuigend telefoongesprek. Het opleiden van medewerkers is nu een cruciale verdedigingslaag. Organisaties moeten hun personeel trainen om rode vlaggen te herkennen, zoals onverwachte IT-verzoeken, ongebruikelijke app-autorisaties of de druk om snel te handelen.
Bovendien kunnen technische beveiligingen – zoals workflows voor app-goedkeuring, multi-factorauthenticatie en beperkte toegangscontrole – helpen de gevolgen te beperken als social engineering succesvol blijkt. Monitoring op ongebruikelijke app-activiteit en het aanscherpen van integratiemachtigingen in platforms zoals Salesforce zijn nu onmisbaar, niet langer een extraatje.
Conclusie
UNC6040 vertegenwoordigt een groeiende klasse cyberdreigingen die inspelen op vertrouwen en menselijk gedrag in plaats van op softwarefouten. De campagnes herinneren ons eraan dat cybersecurity niet alleen een technische uitdaging is, maar ook een menselijke. Naarmate voicephishing-tactieken steeds geavanceerder worden, moeten organisaties evenveel investeren in bewustwording als in technologie om zich ertegen te verdedigen. De oproep klinkt misschien als hulp, maar zoals UNC6040 heeft aangetoond, kan het het begin zijn van iets veel schadelijkers.
