Resumen ejecutivo
Unit 42 ha observado actividad consistente con una campaña específica de actores de amenazas que aprovechan la integración de Salesloft Drift para comprometer las instancias de Salesforce de los clientes. Este documento ofrece información sobre nuestras observaciones y orientación para las organizaciones potencialmente afectadas.
Como se detalla en una notificación reciente de Salesloft, del 8 al 18 de agosto de 2025, una amenaza utilizó credenciales OAuth comprometidas para exfiltrar datos de los entornos Salesforce de los clientes afectados.
Nuestras observaciones indican que el actor de la amenaza realizó una exfiltración masiva de datos confidenciales de varios objetos de Salesforce, incluidos registros de cuentas, contactos, casos y oportunidades. Tras la exfiltración, el actor parecía estar escaneando activamente los datos adquiridos en busca de credenciales, probablemente con la intención de facilitar nuevos ataques o ampliar su acceso. Hemos observado que el actor de la amenaza eliminó consultas para ocultar pruebas de los trabajos que ejecuta, probablemente como técnica antiforense.
Salesloft confirmó que todos los clientes afectados fueron notificados y que tomó medidas inmediatas para asegurar sus sistemas y contener y mitigar el incidente, incluida la revocación proactiva de todos los tokens de acceso y actualización activa para la aplicación Drift, por lo que los administradores afectados necesitarán una nueva autenticación.
Palo Alto Networks recomienda que las organizaciones continúen supervisando las actualizaciones de Salesforce y Salesloft, además de seguir las recomendaciones que se comparten a continuación.
El equipo de respuesta ante incidentes de Unit 42 también puede involucrarse para ayudar con una intrusión o para proporcionar una evaluación proactiva que permita reducir el riesgo.
Recomendaciones para las organizaciones
Las organizaciones que utilizan la integración de Salesloft Drift con Salesforce deben tratar este incidente con urgencia inmediata. Más allá de las medidas proactivas que Salesloft tomó para asegurar su plataforma (como la revocación de tokens), las siguientes recomendaciones son críticas para evaluar el impacto potencial y mitigar riesgos adicionales:
Investigación inmediata y revisión del registro:
- Integraciones de API de Drift: lleve a cabo una revisión exhaustiva de todas las integraciones de Drift y revise toda la actividad de autenticación dentro de los sistemas de terceros en busca de signos de conexiones sospechosas, recolección de credenciales y exfiltración de datos.
- Registros de Salesforce: realice una revisión exhaustiva del historial de inicio de sesión de Salesforce, los registros de auditoría y los registros de acceso a la API desde el 8 de agosto hasta la actualidad. En concreto, examine los registros de supervisión de eventos de Salesforce, si están activados, en busca de actividad inusual asociada con el usuario de conexión de Drift y revise la actividad de autenticación de la aplicación Drift Connected. Busque intentos de inicio de sesión sospechosos, patrones de acceso a datos inusuales y los indicadores mencionados en la guía de búsqueda, como la cadena de agente de usuario Python/3.11 aiohttp/3.12.15 y actividad desde direcciones IP de actores de amenazas conocidos. Asimismo, revise los eventos “UniqueQuery”que registran las consultas ejecutadas en lenguaje de consulta de objetos de Salesforce (SOQL) para identificar qué objetos de Salesforce (por ejemplo, cuenta, contacto, oportunidad, caso, etc.) y qué campos de esos objetos consultó el atacante. Considere la posibilidad de abrir un caso de soporte de Salesforce para obtener consultas específicas utilizadas por el actor de la amenaza, si es necesario.
- Registros de proveedor de identidades: revise los registros de su proveedor de identidades (IdP) en busca de intentos de autenticación inusuales o inicios de sesión correctos en Salesforce u otras aplicaciones integradas durante el período del incidente.
- Registros de red: analice los registros de flujo de red y los registros de proxy en busca de conexiones a Salesforce desde IP sospechosas o volúmenes de transferencia de datos inusuales.
Revisar y rotar las credenciales expuestas:
- Herramientas automatizadas: aproveche las herramientas automatizadas (por ejemplo, Trufflehog, GitLeaks) para buscar eficazmente secretos y credenciales codificadas en repositorios de código, archivos de configuración o cualquier dato potencialmente exfiltrado.
- Escrutinio de datos: si se confirma o sospecha la existencia de una exfiltración, revise los datos para detectar la presencia de credenciales confidenciales. Esto incluye la búsqueda de patrones como identificadores de clave de acceso de AWS (por ejemplo, AKIA), credenciales de Snowflake (por ejemplo, Snowflake o snowflakecomputing[.]com), palabras clave genéricas como contraseña, secreto o clave, y cadenas relacionadas con URL de inicio de sesión específicas de la organización (por ejemplo, páginas de inicio de sesión de VPN o SSO).
- Rotación inmediata: rote inmediatamente todas las credenciales identificadas como expuestas en los datos exfiltrados. Esto incluye, entre otros, claves API de Salesforce, credenciales de aplicaciones conectadas y cualquier otra credencial de sistema encontrada en los datos comprometidos.
Orientación para la búsqueda
Las organizaciones preocupadas por un posible riesgo relacionado con el incidente de integración de Salesloft Drift deben iniciar inmediatamente actividades proactivas de búsqueda de amenazas en sus entornos de Salesforce. (Como punto de partida, Salesforce proporciona algunos recursos para investigar incidentes de seguridad de Salesforce). Un primer paso crítico implica una revisión exhaustiva de los registros de inicio de sesión y actividad de Salesforce en busca de indicadores de vulneración (IoC) específicos asociados con el actor de la amenaza.
Los defensores deben buscar inicios de sesión originados en direcciones IP sospechosas, incluidas, entre otras, direcciones IP de actores de amenazas conocidos (para obtener información y consejos, consulte la sección Indicadores de vulneración de este informe).
Es de particular interés la presencia de la cadena de agente de usuario Python/3.11 aiohttp/3.12.15 asociada a estos eventos de inicio de sesión. Aunque esta cadena específica es un agente de usuario válido que no es intrínsecamente malicioso, también es indicativa de la exfiltración de datos automatizada y de gran volumen observada en esta campaña.
La presencia de esta cadena es significativa porque los actores de amenazas pueden aprovechar las bibliotecas asíncronas de Python como aiohttp, en combinación con la API masiva de Salesforce, para realizar una exfiltración de datos rápida y de alto rendimiento. Este emparejamiento les permite extraer de forma eficaz importantes volúmenes de datos de objetos de Salesforce como cuenta, contacto, caso y oportunidad, minimizando su tiempo en el objetivo.
Conclusión
Palo Alto Networks recomienda enfáticamente rotar las credenciales y seguir las directrices anteriores para validar la actividad de autenticación para las integraciones de Drift. La vigilancia y la verificación son fundamentales.
Las organizaciones deben tener cuidado con los intentos de ingeniería social derivados de este o cualquier otro caso de exfiltración de datos.
Algunos procedimientos recomendados son:
- Desconfíe de las comunicaciones no solicitadas: aconseje a sus equipos que analicen detenidamente cualquier correo electrónico, llamada o mensaje no solicitado o inusual, aunque parezca proceder de una fuente de confianza.
- Verifique las solicitudes: verifique siempre las solicitudes de datos confidenciales o credenciales a través de un canal de comunicación independiente y oficial antes de realizar cualquier acción. Por ejemplo, si recibe un correo electrónico sospechoso de un colega, llámelo directamente para confirmar que la solicitud es legítima. Intercambie información y archivos únicamente a través de nuestro Portal de Atención al Cliente, no por correo electrónico.
- Aplique los principios de confianza cero: aplicar una postura de confianza cero con políticas de acceso condicional y el principio del mínimo privilegio puede limitar significativamente la capacidad de un atacante para moverse lateralmente dentro de su red, incluso si logra engañar a un empleado.
Para obtener más información sobre la ingeniería social y cómo mitigarla, consulte el reciente Informe mundial sobre respuesta ante incidentes de Unit 42 de 2025: edición de ingeniería social.
Palo Alto Networks y Unit 42 seguirán vigilando la situación para obtener información actualizada, y actualizaremos este resumen de amenazas con información adicional si se dispone de ella.
Salesforce proporcionará actualizaciones y recursos a los clientes.
Si cree que podría haber resultado vulnerado o tiene un problema urgente, póngase en contacto con el equipo de respuesta ante incidentes de Unit 42 o llame al:
- Norteamérica: llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)
- Reino Unido: +44.20.3743.3660
- Europa y Oriente Medio: +31.20.299.3130
- Asia: +65.6983.8730
- Japón: +81.50.1790.0200
- Australia: +61.2.4062.7950
- India: 00080005045107
Indicadores de vulneración
Salesloft puso algunos IoC a disposición para la búsqueda. Cabe destacar que muchas de las direcciones IP enumeradas en su notificación son nodos de salida de Tor y pueden tener una alta tasa de falsos positivos para las organizaciones que permiten conexiones Tor.