Por dentro do manual de phishing de voz: a ascensão do grupo de vishing UNC6040
Table of Contents
Um novo ator na arena do crime cibernético
Um grupo de cibercrime denominado UNC6040 emergiu como uma força proeminente no mundo da engenharia social. Identificada pela equipe de Inteligência de Ameaças do Google, essa operação, com fins lucrativos, concentrou seus ataques em empresas que utilizam o Salesforce , a popular plataforma de gerenciamento de relacionamento com o cliente (CRM) baseada em nuvem. O que diferencia o UNC6040 é o uso especializado de phishing de voz — comumente chamado de "vishing" — uma tática que explora a interação humana por telefone para induzir funcionários a fornecer informações confidenciais.
Embora as ameaças cibernéticas frequentemente dependam de vulnerabilidades de software, a UNC6040 inverte o roteiro, mirando nas pessoas por trás dos sistemas. Ao se passar pelo suporte interno de TI, o grupo convence os funcionários a comprometer involuntariamente suas próprias organizações. Essa abordagem prática e baseada em voz adiciona uma camada de credibilidade, especialmente em uma era de trabalho remoto, onde os funcionários podem estar mais acostumados a falar com pessoal de suporte desconhecido.
Engenharia social encontra o Salesforce
No cerne das campanhas da UNC6040 está um plano elaborado que envolve um utilitário do Salesforce chamado Data Loader. Essa ferramenta é normalmente usada para importar e exportar grandes volumes de dados. Os invasores a modificam, disfarçando o aplicativo com nomes como "My Ticket Portal" e induzindo as vítimas a autorizá-lo por meio da interface oficial do Salesforce.
Uma vez aprovado, o aplicativo malicioso atua como uma porta dos fundos para o ambiente de CRM da organização, dando ao UNC6040 acesso direto a dados valiosos dos clientes. A fraude não para por aí. Os invasores costumam usar essa base para se expandir lateralmente, atingindo outros sistemas internos como Okta, Microsoft 365 e Workplace. É um efeito dominó — começando com uma ligação telefônica e terminando com a ampla exposição de dados.
Mais do que apenas roubo de dados
As consequências da atividade do UNC6040 vão muito além do roubo de dados. Em casos selecionados, o grupo ou seus afiliados retornaram meses depois com pedidos de extorsão, usando as informações roubadas como alavanca. Para aumentar a pressão, eles alegam conexões com o ShinyHunters , um conhecido coletivo de hackers, embora uma afiliação direta não tenha sido confirmada.
Essa estratégia de extorsão tardia sugere uma abordagem calculada, possivelmente em coordenação com outros atores do crime cibernético. Também destaca o risco a longo prazo representado por tais violações. As organizações podem não sentir o impacto total até muito tempo após o comprometimento inicial, dando aos invasores tempo para explorar o valor e os potenciais usos dos dados roubados.
Não é uma ameaça isolada
O UNC6040 não opera isoladamente. Suas táticas se sobrepõem às de outros grupos cibercriminosos, como o Scattered Spider, parte de uma rede pouco organizada conhecida como The Com. Essas conexões sugerem que o vishing se tornou um método popular entre cibercriminosos com motivação financeira.
O que é particularmente notável é como esses grupos adaptam técnicas tradicionais de phishing à dinâmica moderna do ambiente de trabalho. Com muitas empresas contando com suporte remoto de TI e help desks terceirizados, a presença de uma voz desconhecida ao telefone não é mais um sinal de alerta. Essa normalização das interações remotas dá aos invasores mais margem de manobra.
Por que isso é importante agora
Ciente da crescente ameaça, a Salesforce emitiu um alerta em março de 2025, alertando os clientes sobre essas táticas. Segundo a empresa, não há evidências de vulnerabilidade em sua plataforma. Em vez disso, os ataques se baseiam na exploração da falta de conhecimento de usuários individuais sobre segurança cibernética. Em todos os casos relatados, os invasores usaram engenharia social — e não exploits técnicos — para violar as defesas.
Este desenvolvimento ressalta a mudança no cenário da segurança cibernética. À medida que as plataformas tecnológicas fortalecem seus sistemas, os invasores estão mudando o foco para alvos mais fáceis: as pessoas. O phishing por voz combina a falsificação tradicional com ferramentas modernas, provando que mesmo ambientes de alta tecnologia são vulneráveis à manipulação de baixa tecnologia.
Como as organizações podem responder
A ascensão da UNC6040 é um alerta para empresas de todos os portes. Embora firewalls e ferramentas antivírus continuem essenciais, eles não podem se defender contra um telefonema convincente. A educação dos funcionários agora é uma camada crítica de defesa. As organizações devem treinar seus funcionários para reconhecer sinais de alerta, como solicitações inesperadas de TI, autorizações incomuns de aplicativos ou pressão para agir rapidamente.
Além disso, salvaguardas técnicas — como fluxos de trabalho de aprovação de aplicativos, autenticação multifator e controles de acesso restritos — podem ajudar a conter as consequências caso a engenharia social seja bem-sucedida. Monitorar atividades incomuns em aplicativos e restringir as permissões de integração em plataformas como o Salesforce agora são essenciais, e não apenas opcionais.
Conclusão
A UNC6040 representa uma classe crescente de ameaças cibernéticas que se aproveitam da confiança e do comportamento humano, em vez de falhas de software. Suas campanhas nos lembram que a segurança cibernética não é apenas um desafio técnico — é um desafio humano. À medida que as táticas de phishing por voz se tornam mais sofisticadas, as organizações precisam investir igualmente em conscientização e tecnologia para se defender contra elas. O apelo pode parecer uma ajuda, mas, como a UNC6040 demonstrou, pode ser o início de algo muito mais prejudicial.
