La deriva tiene reveló que el ataque del 1 de abril de 2026 que condujo al robo de 285 millones de dólares fue la culminación de una operación de ingeniería social selectiva y meticulosamente planificada de meses de duración emprendida por la República Popular Democrática de Corea (RPDC) que comenzó en el otoño de 2025.

El intercambio descentralizado con sede en Solana lo describió como «un ataque que lleva seis meses en desarrollo», y lo atribuyó con confianza media a un grupo de piratería patrocinado por el estado de Corea del Norte llamado UNC4736que también se rastrea bajo los ciptónimos AppleJeus, Citrine Sleet, Golden Chollima y Gleaming Pisces.

El actor de amenazas tiene un historial de atacar el sector de las criptomonedas por robo financiero desde al menos 2018. Es más conocido por la violación de la cadena de suministro de X_TRADER/3CX en 2023 y el hackeo de 53 millones de dólares de la plataforma de finanzas descentralizadas (DeFi). Capital Radiante en octubre de 2024.

«La base de esta conexión es tanto en cadena (los flujos de fondos utilizados para organizar y probar esta operación se remontan a los atacantes de Radiant) como operativa (las personas desplegadas en esta campaña tienen superposiciones identificables con actividades conocidas vinculadas a la RPDC)», dijo Drift en un análisis del domingo.

En una evaluación publicada a finales de enero de 2026, la empresa de ciberseguridad CrowdStrike describió a Golden Chollima como una rama de Labyrinth Chollima que está orientada principalmente al robo de criptomonedas y apunta a pequeñas empresas de tecnología financiera en EE. UU., Canadá, Corea del Sur, India y Europa occidental.

«El adversario normalmente lleva a cabo robos de menor valor a un ritmo operativo más consistente, lo que sugiere la responsabilidad de garantizar la generación de ingresos básicos para el régimen de la RPDC», dijo CrowdStrike. «A pesar de mejorar las relaciones comerciales con Rusia, la RPDC necesita ingresos adicionales para financiar ambiciosos planes militares que incluyen la construcción de nuevos destructores, la construcción de submarinos de propulsión nuclear y el lanzamiento de satélites de reconocimiento adicionales».

En al menos un incidente observado a finales de 2024, UNC4736 entregó paquetes Python maliciosos mediante un plan de contratación fraudulento a una empresa europea de tecnología financiera. Al obtener acceso, el actor de amenazas se movió lateralmente al entorno de nube de la víctima para acceder a las configuraciones de IAM y los recursos de nube asociados y, en última instancia, desvió los activos de criptomonedas a billeteras controladas por el adversario.

Cómo probablemente se desarrolló el ataque a la deriva

Drift, que está trabajando con las fuerzas del orden y socios forenses para reconstruir la secuencia de eventos que llevaron al ataque, dijo que era el objetivo de una «operación de inteligencia estructurada» que requirió meses de planificación.

A partir del otoño de 2025 o alrededor de esa fecha, personas que se hacían pasar por una empresa comercial cuantitativa se acercaron a los contribuyentes de Drift en una importante conferencia sobre criptomonedas y conferencias internacionales sobre criptomonedas con el pretexto de integrar el protocolo. Desde entonces, se supo que se trataba de un enfoque deliberado, en el que los miembros de este grupo comercial se acercaron y establecieron una buena relación con contribuyentes específicos de Drift en varias conferencias importantes de la industria que tuvieron lugar en varios países durante un período de seis meses.

«Los individuos que aparecieron en persona no eran ciudadanos norcoreanos», explicó Drift. «Se sabe que los actores de amenazas de la RPDC que operan a este nivel utilizan intermediarios externos para construir relaciones cara a cara».

«Eran técnicamente fluidos, tenían antecedentes profesionales verificables y estaban familiarizados con cómo operaba Drift. Se estableció un grupo de Telegram en la primera reunión, y lo que siguió fueron meses de conversaciones sustanciales sobre estrategias comerciales y posibles integraciones de bóvedas. Estas interacciones son típicas de cómo las empresas comerciales interactúan y se incorporan a Drift».

Luego, en algún momento entre diciembre de 2025 y enero de 2026, el grupo incorporó un Ecosystem Vault en Drift, un paso que requirió completar un formulario con detalles de la estrategia. Como parte de este proceso, se dice que las personas se comunicaron con múltiples contribuyentes, les hicieron «preguntas detalladas e informadas sobre el producto», mientras depositaban más de $ 1 millón de sus propios fondos.

Esto, dijo Drift, fue un movimiento calculado diseñado para construir una presencia operativa funcional dentro del ecosistema Drift, con conversaciones de integración que continuaron con los contribuyentes hasta febrero y marzo de 2026. Esto incluyó compartir enlaces para proyectos, herramientas y aplicaciones que la compañía afirmó estar desarrollando.

La posibilidad de que estas interacciones con el grupo comercial hayan actuado como la vía de infección inicial adquirió importancia tras el ataque del 1 de abril. Pero como reveló Drift, sus chats de Telegram y el software malicioso se eliminaron justo en el momento en que ocurrió el ataque.

Se sospecha que puede haber dos vectores de ataque principales:

• Es posible que un colaborador se haya visto comprometido después de clonar un repositorio de código compartido por el grupo como parte de los esfuerzos para implementar una interfaz para su bóveda.
• Se convenció a un segundo colaborador para que descargara un producto de billetera a través de TestFlight de Apple para realizar una prueba beta de la aplicación.

Se considera que el vector de intrusión basado en repositorio involucró un proyecto malicioso de Microsoft Visual Studio Code (VS Code) que utiliza el archivo «tasks.json» como arma para desencadenar automáticamente la ejecución de código malicioso en el proyecto en el IDE mediante el uso de la opción «runOn:folderOpen».

Vale la pena señalar que esta técnica ha sido adoptado por los actores de amenazas norcoreanos asociados con la campaña Contagious Interview desde diciembre de 2025, lo que llevó a Microsoft a introducir nuevos controles de seguridad en las versiones 1.109 y 1.110 de VS Code para evitar la ejecución involuntaria de tareas al abrir un espacio de trabajo.

«La investigación ha demostrado hasta ahora que los perfiles utilizados en esta operación dirigida por terceros tenían identidades completamente construidas, incluidos historiales laborales, credenciales públicas y redes profesionales», dijo Drift. «Las personas que los colaboradores de Drift conocieron en persona parecían haber pasado meses creando perfiles, tanto personales como profesionales, que pudieran resistir el escrutinio durante una relación comercial o de contraparte».

El ecosistema de malware fragmentado de Corea del Norte

La divulgación se produce cuando DomainTools Investigations (DTI) reveló que el aparato cibernético de la RPDC ha evolucionado hasta convertirse en un ecosistema de malware «deliberadamente fragmentado» que está impulsado por una misión, operativamente resiliente y resistente a los esfuerzos de atribución. Se cree que este cambio es una respuesta a las acciones policiales y a las revelaciones de inteligencia sobre las campañas de piratería informática de Corea del Norte.

«El desarrollo y las operaciones de malware están cada vez más compartimentados, tanto técnica como organizativamente, lo que garantiza que la exposición en un área de la misión no se extienda a todo el programa», dijo DTI. dicho. «Lo más importante es que este modelo también maximiza la ambigüedad. Al separar las herramientas, la infraestructura y los patrones operativos según las líneas de la misión, la RPDC complica la atribución y ralentiza la toma de decisiones de los defensores».

Con ese fin, DomainTools señaló que el malware orientado al espionaje de la RPDC está asociado principalmente con Kimsuky, mientras que Lazarus Group encabeza los esfuerzos para generar ingresos ilícitos para el régimen, transformándose en un «pilar central» para la evasión de sanciones. La tercera vía gira en torno a la implementación de ransomware y malware de limpieza con fines de señalización estratégica y llamar la atención sobre sus capacidades. Esta rama disruptiva está asociada a Andariel.

La ingeniería social detrás de las entrevistas contagiosas y el fraude de los trabajadores de TI

La ingeniería social y el engaño siguen siendo los principales catalizadores de muchas de las intrusiones que se han atribuido a los actores amenazadores de la RPDC. Esto incluye el reciente compromiso de la cadena de suministro del enormemente popular paquete npm, Axios, así como campañas en curso como Contagious Interview y fraude a los trabajadores de TI.

Entrevista contagiosa es el apodo asignado a una amenaza de larga duración en la que el adversario se acerca a posibles objetivos y los engaña para que ejecuten código malicioso desde un repositorio falso como parte de una evaluación. Algunos de estos esfuerzos han utilizado proyectos Node.js armados alojados en GitHub para desplegar una puerta trasera de JavaScript llamada DEV#POPPER RAT y un ladrón de información conocido como OmniStealer.

Por otro lado, Fraude de trabajadores de TI de la RPDC se refiere a esfuerzos coordinados por agentes norcoreanos para Consiga puestos remotos independientes y de tiempo completo en empresas occidentales que utilizan identidades robadas, Personas generadas por IAy credenciales falsificadas. Una vez contratados, generan ingresos constantes y aprovechan el acceso para introducir malware y desviar información confidencial y de propiedad exclusiva. En algunos casos, los datos robados se utilizan para extorsionar a las empresas.

El programa patrocinado por el estado despliega miles de trabajadores técnicamente capacitados en países como China y Rusia, que se conectan a computadoras portátiles proporcionadas por la empresa alojadas en granjas de computadoras portátiles en los EE. UU. y otros lugares. El plan también se basa en una red de facilitadores para recibir computadoras portátiles de trabajo, administrar la nómina y manejar la logística. Estos facilitadores son contratados a través de empresas fantasma.

El proceso comienza con los reclutadores que identifican y seleccionan candidatos potenciales. Una vez aceptados, los trabajadores de TI ingresan a una fase de incorporación, donde los facilitadores asignan identidades y perfiles, y los guían a través de actualizaciones de currículum, preparación de entrevistas y solicitudes iniciales de empleo. Los actores de amenazas también trabajan con colaboradores para completar los requisitos de contratación para oportunidades de tiempo completo donde se aplican estrictas políticas de verificación de identidad.

Como señaló Chainalysis, las criptomonedas juega un papel central en canalizar la mayoría de los salarios generados por estos esquemas de trabajadores de TI de regreso a Corea del Norte mientras evaden las sanciones internacionales.

«El ciclo es constante e interminable. Los trabajadores de TI de Corea del Norte entienden que, tarde o temprano, renunciarán o serán despedidos de cualquier puesto determinado», dijeron Flare e IBM X-Force en un informe el mes pasado. «Como resultado, cambian continuamente entre trabajos, identidades y cuentas, sin permanecer nunca en un puesto ni utilizar una sola persona durante mucho tiempo».

Desde entonces, nuevas pruebas descubiertas por Flare han revelado los esfuerzos de la campaña para reclutar activamente a personas de Irán, Siria, Líbano y Arabia Saudita, y al menos dos iraníes recibieron cartas de oferta formales de empleadores estadounidenses. Ha habido más de 10 casos de ciudadanos iraníes que han sido reclutados por el régimen.

También se ha descubierto que los facilitadores utilizan LinkedIn para contratar a personas distintas de Irán, Irlanda e India, a quienes luego se les capacita para conseguir los puestos de trabajo. Estos individuos, llamados llamadores o entrevistadores, hablan por teléfono con gerentes de contratación estadounidenses, pasan entrevistas técnicas y se hacen pasar por personas occidentales reales o falsas seleccionadas por ellos. Cuando una persona que llama no pasa una entrevista, el facilitador revisa la grabación y proporciona comentarios.

«Los norcoreanos están apuntando deliberadamente a contratistas de defensa, intercambios de criptomonedas e instituciones financieras estadounidenses», Flare dicho. «Si bien las motivaciones principales parecen ser financieras, el ataque deliberado evidenciado en sus documentos indica que también puede haber otros objetivos en juego».

«La RPDC no está simplemente desplegando a sus propios ciudadanos bajo identidades falsas. Está construyendo un canal de reclutamiento multinacional, atrayendo a desarrolladores capacitados de Irán, Siria, Líbano y Arabia Saudita a una infraestructura diseñada para infiltrarse en contratistas de defensa, intercambios de criptomonedas, instituciones financieras y empresas de todos los tamaños de los EE. UU. Los reclutas son verdaderos ingenieros de software, pagados en criptomonedas, entrenados a través de entrevistas y ubicados en personajes occidentales fabricados».

Los investigadores de ciberseguridad han descubierto media docena de nuevas familias de malware para Android que cuentan con capacidades para robar datos de dispositivos comprometidos y realizar fraudes financieros.

El malware para Android abarca desde troyanos bancarios tradicionales como PixRevolución, TaxiSpy RATA, BeatBanker, miraxy RATA del olvido a herramientas completas de administración remota como SURXRAT.

PixRevolution, según Zimperium, apunta a la plataforma de pago instantáneo Pix de Brasil, secuestrando las transferencias de dinero de las víctimas en tiempo real para dirigirlas a los actores de la amenaza en lugar del beneficiario previsto.

«Esta nueva cepa de malware opera sigilosamente dentro del dispositivo hasta el momento en que la víctima inicia una transferencia Pix», afirma el investigador de seguridad Aazim Yaswant. dicho. «Lo que distingue a esta amenaza de los troyanos bancarios convencionales es su diseño fundamental: un operador humano o agente de IA participa activamente en el extremo remoto, observando instantáneamente la pantalla del teléfono de la víctima, preparado para actuar en el momento preciso de la transacción».

El malware de Android se propaga a través de páginas falsas de listas de aplicaciones de Google Play Store para aplicaciones como Expedia, Sicredi y Correios para engañar a los usuarios para que instalen los archivos APK del dropper malicioso. Una vez instaladas, las aplicaciones instan a los usuarios a habilitar los servicios de accesibilidad para lograr sus objetivos.

También se conecta a un servidor externo a través de TCP en el puerto 9000 para enviar mensajes de latido periódicos que contienen información del dispositivo y activar la captura de pantalla en tiempo real utilizando la API MediaProjection de Android. La funcionalidad principal de PixRevolution, sin embargo, es monitorear la pantalla de la víctima y ofrecer una superposición falsa tan pronto como la víctima ingresa la cantidad deseada y el clave de foto del destinatario para iniciar el pago.

En ese momento, el troyano muestra una superposición WebView falsa que dice «Aguarde…» (que significa «esperar» en portugués/español), mientras, en segundo plano, edita la clave Pix con la del atacante para completar la transferencia de fondos. En la etapa final, se elimina la superposición y a la víctima se le muestra una pantalla de confirmación de «transferencia completa» en la aplicación Pix.

«Desde la perspectiva de la víctima, no ocurrió nada inusual», dijo Yaswant. «La aplicación mostró brevemente un indicador de carga, algo que ocurre rutinariamente durante operaciones bancarias legítimas. La transferencia fue confirmada exitosamente. La cantidad que pretendían enviar fue deducida de su cuenta».

«Sólo más tarde, a veces mucho más tarde, la víctima descubre que el dinero fue a la cuenta equivocada. Y como las transferencias Pix son instantáneas y definitivas, la recuperación es extraordinariamente difícil».

Los usuarios brasileños también se han convertido en el objetivo de otra campaña de malware basada en Android llamada BeatBanker, que se propaga principalmente a través de ataques de phishing a través de un sitio web disfrazado de Google Play Store. BeatBanker recibe su nombre del uso de un mecanismo de persistencia inusual que implica reproducir en bucle un archivo de audio casi inaudible, una grabación de 5 segundos con palabras chinas, para evitar que se termine.

Además de incorporar comprobaciones de tiempo de ejecución para entornos emulados o de análisis, el malware monitorea la temperatura y el porcentaje de la batería y verifica si el usuario está usando el dispositivo para iniciar o detener el minero Monero según sea necesario. Utiliza Firebase Cloud Messaging (FCM) de Google para comando y control (C2).

«Para lograr sus objetivos, los APK maliciosos llevan múltiples componentes, incluido un minero de criptomonedas y un troyano bancario capaz de secuestrar completamente el dispositivo y falsificar pantallas, entre otras cosas», Kaspersky dicho. «Cuando el usuario intenta realizar una transacción USDT, BeatBanker crea páginas superpuestas para Binance y Trust Wallet, reemplazando de forma encubierta la dirección de destino con la dirección de transferencia del actor de la amenaza».

El módulo bancario también monitorea navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y sBrowser hasta las URL a las que accede la víctima. Además, admite la capacidad de recibir una larga lista de comandos del servidor para recopilar información personal y obtener un control total del dispositivo.

Se ha descubierto que en iteraciones recientes de la campaña se elimina BTMOB RAT en lugar del módulo bancario. Proporciona a los operadores control remoto integral, acceso persistente y vigilancia de dispositivos comprometidos. Se considera que BTMOB es una evolución de las familias CraxsRAT, CypherRAT y SpySolr, todas las cuales han sido vinculadas a un actor de amenazas sirio que se conoce con el alias en línea EVLF.

«También vimos la distribución y venta de código fuente BTMOB filtrado en algunos foros de la web oscura», dijo el proveedor de seguridad ruso. «Esto puede sugerir que el creador de BeatBanker adquirió BTMOB de su autor original o de la fuente de la filtración y lo está utilizando como carga útil final».

TaxiSpy RAT, similar a PixRevolution, abusa del servicio de accesibilidad de Android y de las API MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenidos del portapapeles, lista de aplicaciones instaladas, notificaciones, PIN de la pantalla de bloqueo y pulsaciones de teclas, así como apuntar a aplicaciones bancarias, criptomoneda y gubernamentales rusas al ofrecer superposiciones para llevar a cabo el robo de credenciales.

El malware combina la funcionalidad del troyano bancario tradicional con capacidades RAT completas, lo que permite a los actores de amenazas recopilar datos confidenciales y ejecutar comandos enviados a través de mensajes push de Firebase. Se han publicado varias muestras de TaxiSpy. descubierto tanto por CYFIRMA como por Zimperium, lo que indica esfuerzos activos por parte de los atacantes para evadir la detección basada en firmas y las defensas de listas negras.

«El malware aprovecha técnicas de evasión avanzadas, como el cifrado de biblioteca nativo, la ofuscación de cadenas XOR y el control remoto tipo VNC en tiempo real a través de WebSocket», CYFIRMA dicho. «Su diseño permite una vigilancia integral de los dispositivos, incluidos SMS, registros de llamadas, contactos, notificaciones y monitoreo de aplicaciones bancarias, lo que destaca su enfoque específico de la región y motivado financieramente».

Otro troyano bancario de Android digno de mención es miraxque ha sido anunciado por un actor de amenazas llamado Mirax Bot como una oferta privada de malware como servicio (MaaS) por un precio mensual de 2500 dólares por una versión completa o 1750 dólares por una variante ligera. Mirax afirma ofrecer superposiciones bancarias, recopilación de información (por ejemplo, pulsaciones de teclas, SMS, patrones de bloqueo) y un proxy SOCKS5 para enrutar el tráfico malicioso a través de dispositivos comprometidos.

Mirax no es la única oferta de Android MaaS detectada en los últimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion se vende por unos 300 dólares al mes (o 1.900 dólares al año y 2.200 dólares por acceso de por vida) y pretende eludir las funciones de detección y seguridad de los dispositivos de los principales fabricantes.

Una vez instalado, el malware emplea un mecanismo automatizado de concesión de permisos que no requiere interacción por parte de la víctima. Este enfoque, según el vendedor, funciona en MIUI/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).

«Lo que lo distingue no es una característica única. Es la combinación: omisión de permisos automatizada, control remoto oculto, persistencia profunda y un constructor de apuntar y hacer clic que pone todo al alcance de posibles piratas informáticos incluso con el nivel más mínimo de habilidad técnica», Certos dicho.

«Google ha hecho de las restricciones progresivas sobre el abuso de los servicios de accesibilidad una prioridad en las sucesivas versiones de Android. Una herramienta que elude de manera creíble esas protecciones en la última versión, y lo hace en dispositivos de Samsung, Xiaomi, OPPO y otros, representa un verdadero desafío para las defensas a nivel de plataforma».

También se distribuye comercialmente a través de un ecosistema MaaS basado en Telegram una familia de malware para Android llamada SURXRATque se considera una versión mejorada de Arsink. El malware abusa de los permisos de accesibilidad para un control persistente y se comunica con una infraestructura C2 basada en Firebase para controlar los dispositivos infectados. El malware se comercializa en un canal de Telegram gestionado por un actor de amenazas indonesio.

Lo notable de algunas de las nuevas muestras es la presencia de un componente de modelo de lenguaje grande (LLM), lo que indica que los actores de amenazas detrás del malware están experimentando con capacidades de inteligencia artificial (IA), junto con la vigilancia tradicional. Dicho esto, la descarga del módulo LLM se activa solo cuando aplicaciones de juego específicas están activas en el dispositivo de la víctima, o cuando recibe nombres de paquetes de destino alternativos de forma dinámica desde el servidor.

• Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax)
• Free Fire x JUJUTSU KAISEN (com.dts.freefireth)

Algunas muestras de SURXRAT también incorporan un módulo de bloqueo de pantalla estilo ransomware que hace posible que un operador remoto se apodere del control del dispositivo de una víctima y niegue el acceso mostrando un mensaje de bloqueo de pantalla completa hasta que se realice un pago.

«Esta evolución destaca cómo los actores de amenazas continúan reutilizando y ampliando los marcos RAT de Android existentes, acelerando los ciclos de desarrollo de malware y permitiendo la rápida introducción de nuevas funcionalidades de vigilancia y control», dijo Cyble. «La experimentación observada con la integración de grandes modelos de IA indica además que los actores de amenazas están explorando activamente tecnologías emergentes para mejorar la efectividad operativa y evadir la detección».

Los cazadores de amenazas y un grupo de víctimas no confirmadas están respondiendo a una serie de ataques dirigidos a clientes de Salesforce, que el proveedor reveló en un aviso de seguridad Sábado.

«Salesforce está monitoreando activamente la actividad de amenazas dirigida a sitios públicos de Experience Cloud, incluidos los intentos de aprovechar configuraciones de usuarios invitados demasiado permisivas», dijo la compañía en la alerta.

La campaña marca el tercer ataque generalizado dirigido a clientes de Salesforce en aproximadamente seis meses.

El número de víctimas atrapadas por los últimos ataques no está verificado, pero ShinyHunters, el grupo de amenazas que se atribuye la responsabilidad de los ataques, afirma que unas 100 empresas ya se han visto afectadas.

Los investigadores dijeron a CyberScoop que confían en que el grupo de amenazas detrás de la campaña está asociado con ShinyHunters, un equipo que anteriormente robó datos de instancias de Salesforce para intentos de extorsión.

Salesforce no atribuyó los ataques, pero culpó a un «grupo conocido de actores de amenazas», y agregó que el problema es no debido a una vulnerabilidad en la plataforma de la empresa.

La compañía dijo que la actividad de amenazas refleja una tendencia más amplia de ataques basados ​​en identidad, en este caso configuraciones de usuario invitado configuradas por el cliente que exponen los sitios de Experience Cloud de acceso público a posibles ataques.

«Somos conscientes de un actor de amenazas que intenta identificar configuraciones erróneas dentro de las instancias de Salesforce Experience Cloud», dijo en un comunicado Charles Carmakal, director de tecnología de Mandiant Consulting. «Estamos trabajando estrechamente con Salesforce y nuestros clientes para proporcionar las reglas de detección y telemetría necesarias para mitigar el riesgo potencial».

Salesforce dijo que el actor de amenazas está utilizando una versión modificada de la herramienta de código abierto desarrollada por Mandiant. AuraInspector para buscar sitios públicos de Experience Cloud y robar datos de instancias con un perfil de usuario invitado.

Esta configuración está diseñada para proporcionar a los usuarios no autenticados acceso a datos destinados al consumo público. Sin embargo, los perfiles de invitados con permisos excesivos permiten a los atacantes ver datos adicionales consultando directamente los objetos de Salesforce CRM sin iniciar sesión, explicó la compañía.

Salesforce no dijo cuándo ni cómo se enteró de la última campaña dirigida a sus clientes, ni cuántas empresas ya se han visto afectadas. «No tenemos nada más que agregar en este momento», dijo Nicole Aranda, gerente senior de comunicaciones corporativas de Salesforce.

La empresa recomendó a los clientes que se aseguren de que las configuraciones de los usuarios invitados estén restringidas adecuadamente.

«Cualquier sistema expuesto a Internet debe configurarse con la expectativa de que será escaneado continuamente», dijo en un correo electrónico Shane Barney, director de seguridad de la información de Keeper Security.

“En esencia, se trata de una cuestión de gobernanza del acceso”, añadió. «Las cuentas de invitado, las cuentas de servicio y las integraciones de API deben tratarse con la misma disciplina que los usuarios privilegiados. Aplicar privilegios mínimos, restringir el acceso a la API y auditar continuamente los permisos son controles de seguridad fundamentales».

Los clientes de Salesforce se enfrentaron a un par de ataques que involucraron a proveedores externos el año pasado. Google Threat Intelligence Group dijo en ese momento que tenía conocimiento de más de 200 instancias de Salesforce potencialmente afectadas vinculadas a actividad maliciosa en aplicaciones Gainsight conectadas a entornos de clientes de Salesforce en noviembre.

Una ola de ataques posteriores más extensa descubierta en agosto afectó a más de 700 empresas que integraron el agente de chat de IA Salesloft Drift en sus entornos de Salesforce. ShinyHunters o grupos de amenazas afiliados al grupo de extorsión también participaron en ambas campañas.