Etiquetas

UNC6395, grupo ligado a Lazarus, protagoniza ciberataque histórico que revela fallas en integraciones de Salesforce





Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

En agosto de 2025 se reveló un ataque de gran alcance a la cadena de suministro de Drift, plataforma de Salesloft integrada con Salesforce, que puso en jaque la seguridad de decenas de corporaciones a nivel mundial. El responsable, identificado como UNC6395, un grupo de cibercriminales vinculado a la amenaza persistente avanzada (APT) Lazarus de Corea del Norte, logró robar tokens OAuth y de actualización, lo que permitió infiltrarse en entornos corporativos y exfiltrar información crítica.

El ataque derivó en brechas de datos que comprometieron principalmente información de contacto empresarial y detalles de casos de soporte, aunque en ciertos escenarios se habrían expuesto también credenciales sensibles como tokens de acceso. Estos últimos elevan la preocupación de expertos en ciberseguridad ante la posibilidad de que los datos sean utilizados para sofisticadas campañas de ingeniería social dirigidas a altos ejecutivos y personal clave de las empresas afectadas.

El alcance real del incidente sigue siendo incierto, ya que se sospecha que otras integraciones de Salesloft también resultaron comprometidas. Pese a ello, no todas las compañías fueron vulneradas: Okta, por ejemplo, logró frustrar el ataque al aplicar medidas avanzadas de protección como restricciones de IP, DPoP y el marco IPSIE. Las recomendaciones para el resto de organizaciones incluyen una revisión exhaustiva de registros, la rotación inmediata de credenciales y el fortalecimiento de los controles de seguridad en la gestión de tokens.

Entre las víctimas confirmadas se encuentran compañías de alto perfil como Palo Alto Networks, Tenable, Cloudflare, CyberArk, Zscaler, Proofpoint, Rubrik, BeyondTrust, Fastly, Dynatrace, Qualys, Nutanix, Elastic, Sigma Computing, Esker, Workiva, Cato Networks, JFrog, Bugcrowd, Heap, Megaport, Tanium, PagerDuty y SpyCloud. Sin embargo, analistas advierten que la lista podría seguir ampliándose en las próximas semanas a medida que se profundiza la investigación.

UNC6395, clasificado por la firma de ciberseguridad Mandiant como parte del ecosistema Lazarus, se especializa en ataques de carácter financiero, con el objetivo de generar ingresos para el régimen norcoreano y evadir sanciones internacionales. Sus tácticas abarcan desde campañas de spear phishing altamente personalizadas hasta el uso de macros maliciosos en documentos de Office y el despliegue de backdoors diseñados a la medida para moverse lateralmente en redes corporativas. Además, han demostrado capacidad para comprometer software legítimo con el fin de distribuir su malware, estrategia que les ha permitido ampliar su rango de víctimas mediante ataques a la cadena de suministro.

La vinculación con Lazarus, también conocido como APT38 o Hidden Cobra, refuerza la gravedad del incidente. Este grupo ha sido históricamente señalado por ataques a instituciones financieras, casas de bolsa y plataformas de criptomonedas en distintas partes del mundo. La operación contra Drift confirma que sus objetivos no se limitan al ámbito financiero, sino que se extienden hacia la explotación de debilidades en servicios ampliamente utilizados por empresas globales, consolidando a Corea del Norte como un actor cada vez más sofisticado y agresivo en el panorama de la ciberseguridad internacional.

Este ataque vuelve a dejar claro que ninguna organización, por grande o pequeña que sea, está exenta de convertirse en objetivo. La lección es clara: invertir en prevención y adoptar una cultura de seguridad digital ya no es opcional, sino una necesidad urgente para reducir riesgos en un entorno donde las amenazas no dejan de evolucionar.

Para mayot información, visite: https://www.silikn.com/
Etiquetas: