Inuti handboken för röstnätfiske: Uppkomsten av UNC6040 Vishing Group
Table of Contents
En ny aktör inom cyberbrottslighet
En cyberbrottsgrupp med namnet UNC6040 har framträtt som en framträdande kraft inom social ingenjörskonst. Denna finansdrivna verksamhet, som identifierats av Googles Threat Intelligence-team , har fokuserat sina attacker på företag som använder Salesforce , den populära molnbaserade plattformen för kundrelationshantering (CRM). Det som skiljer UNC6040 från mängden är deras specialiserade användning av röstnätfiske – vanligtvis kallat "vishing" – en taktik som utnyttjar mänsklig interaktion via telefon för att lura anställda att lämna ut känslig information.
Medan cyberhot ofta bygger på sårbarheter i programvaran, vänder UNC6040 på manuset genom att rikta in sig på personerna bakom systemen. Genom att utge sig för att vara intern IT-support övertalar gruppen anställda att omedvetet kompromettera sina egna organisationer. Denna praktiska, röstbaserade metod ger ett lager av trovärdighet, särskilt i en tid av distansarbete där anställda kan vara mer vana vid att prata med okänd supportpersonal.
Social ingenjörskonst möter Salesforce
Kärnan i UNC6040:s kampanjer ligger en avancerad knepig strategi som involverar ett Salesforce-verktyg som heter Data Loader. Detta verktyg används vanligtvis för att importera och exportera stora datamängder. Angriparna modifierar det, döljer applikationen under namn som "My Ticket Portal" och vägleder offren att auktorisera den via det officiella Salesforce-gränssnittet.
När den skadliga appen väl har godkänts fungerar den som en bakdörr till organisationens CRM-miljö, vilket ger UNC6040 direkt tillgång till värdefull kunddata. Bedrägeriet slutar inte där. Angriparna använder ofta detta fotfäste för att expandera lateralt och gå vidare till andra interna system som Okta, Microsoft 365 och Workplace. Det är en dominoeffekt – som börjar med ett telefonsamtal och slutar i omfattande dataexponering.
Mer än bara datastöld
Konsekvenserna av UNC6040:s aktivitet sträcker sig långt bortom stulen data. I utvalda fall har gruppen eller dess dotterbolag återvänt månader senare med utpressningskrav och använt den stulna informationen som hävstång. För att förstärka trycket hävdar de kopplingar till ShinyHunters , ett välkänt hackerkollektiv, även om en direkt koppling inte har bekräftats.
Denna fördröjda utpressningsstrategi tyder på en kalkylerad strategi, eventuellt i samordning med andra aktörer inom cyberbrottslighet. Den belyser också den långsiktiga risk som sådana intrång utgör. Organisationer kanske inte känner av den fulla effekten förrän långt efter den första intrånget, vilket ger angriparna tid att utforska den stulna informationens värde och potentiella användningsområden.
Inte ett isolerat hot
UNC6040 verkar inte i ett vakuum. Deras taktik överlappar med andra cyberbrottsgrupper, såsom Scattered Spider, en del av ett löst organiserat nätverk känt som The Com. Dessa kopplingar tyder på att vishing har blivit en vanlig metod bland ekonomiskt motiverade cyberbrottslingar.
Det som är särskilt anmärkningsvärt är hur dessa grupper anpassar traditionella nätfisketekniker till modern arbetsplatsdynamik. Med många företag som förlitar sig på fjärrsupport från IT och outsourcade helpdesk, väcker närvaron av en okänd röst i telefonen inte längre varningssignaler. Denna normalisering av distansinteraktioner ger angripare mer manövreringsutrymme.
Varför detta är viktigt nu
Salesforce, medvetet om det växande hotet, utfärdade en varning i mars 2025 och varnade kunderna för dessa taktiker. Enligt företaget finns det inga bevis för en sårbarhet i deras plattform. Istället bygger attackerna på att utnyttja enskilda användares bristande cybersäkerhetsmedvetenhet. I alla rapporterade fall använde angriparna social ingenjörskonst – inte tekniska exploater – för att bryta sig in i försvaret.
Denna utveckling understryker det skiftande cybersäkerhetslandskapet. I takt med att teknikplattformar hårdgör sina system, flyttar angripare fokus till de mjukare målen: människorna. Röstfiske blandar gammaldags bedrägeri med moderna verktyg, vilket bevisar att även högteknologiska miljöer är sårbara för lågteknologisk manipulation.
Hur organisationer kan reagera
Framväxten av UNC6040 är en väckarklocka för företag av alla storlekar. Även om brandväggar och antivirusverktyg fortfarande är viktiga, kan de inte försvara sig mot ett övertygande telefonsamtal. Medarbetarutbildning är nu ett kritiskt försvarslag. Organisationer måste utbilda personalen i att känna igen varningssignaler, såsom oväntade IT-förfrågningar, ovanliga appauktoriseringar eller press att agera snabbt.
Dessutom kan tekniska säkerhetsåtgärder – som arbetsflöden för appgodkännande, flerfaktorsautentisering och begränsade åtkomstkontroller – hjälpa till att begränsa konsekvenserna om social ingenjörskonst lyckas. Övervakning av ovanlig appaktivitet och skärpta integrationsbehörigheter i plattformar som Salesforce är nu ett måste, inte något som är bra att ha.
Slutsats
UNC6040 representerar en växande klass av cyberhot som utnyttjar förtroende och mänskligt beteende snarare än programvarubrister. Dess kampanjer påminner oss om att cybersäkerhet inte bara är en teknisk utmaning – det är en mänsklig. I takt med att röstnätfiske blir mer sofistikerade måste organisationer investera lika mycket i medvetenhet som i teknik för att försvara sig mot dem. Uppropet kanske låter som hjälp, men som UNC6040 har visat kan det vara början på något mycket mer skadligt.
