En omfattande våg av sofistikerade cyberattacker riktar sig mot företag som använder Salesforce – och teknikjätten Google har nu bekräftat att även de drabbats.
Stora varumärken drabbade
Internationella företag som Dior, Allianz, Adidas, Chanel, Pandora, Qantas, Air France och KLM har blivit offer. Nu har även Google avslöjat att en av deras Salesforce-databaser, med kontaktinformation för små och medelstora företag, blev komprometterad under juni 2025.
Ett växande hot: UNC6040 & social ingenjörskonst i fokus
Google Threat Intelligence Group (GTIG) har identifierat hackergruppen som UNC6040. De använder en avancerad form av social ingenjörskonst där anställda ringer uppsatta att vara IT-support (voice phishing eller “vishing“). Under samtalet luras de att installera en falsk version av Salesforce Data Loader via en app‑anslutning, vilket ger angriparna omfattande åtkomst till både Salesforce och andra molntjänster som Okta och Microsoft 365.
Attackernas infrastruktur delar karaktärsdrag med det löst organiserade cyberkriminella nätverket “The Com“.
Data exfiltrering och utpressning
Google rapporterar att cirka 20 organisationer har påverkats, och i flera fall har data exfiltrerats. I vissa intrång har data extraherats i små mängder innan tillgången revs – i andra fall har hela databastabeller laddats ner.
I vissa fall har utpressningarna inte börjat förrän flera månader efter intrånget — ofta med aktörer som utger sig för att representera den ökända gruppen ShinyHunters, vilket ökar skuldbeläggningen mot offret.
Google och Salesforce svarar
Google har skyndat sig att analysera och begränsa tillgången till databasen och konstaterar att endast offentligt tillgänglig företagsinformation stals, exempelvis namn och kontaktuppgifter — men inga känsliga uppgifter.
Salesforce betonar att angreppet inte uppstod genom sårbarheter i deras plattform utan genom riktad manipulation av användare. De påpekar att det endast är ett begränsat antal kunder som drabbats och avråder företag från att installera okända anslutna appar eller ange koder utan verifiering.
Säkerhetsexperternas rekommendationer — vad bör organisationer göra?
För att stå emot denna form av attack uppmanar experter till en kombination av utbildning, tekniska åtgärder och regelbunden övervakning:
| Åtgärd | Beskrivning |
|---|---|
| Utbildning och medvetandegörande | Informera anställda om riskerna med vishing och kopplade appar – särskilt Salesforce‑administratörer. |
| Begränsad appbehörighet | Tilldela “API Enabled” samt behörigheter att lägga till anslutna appar endast till nödvändiga och betrodda administratörer. |
| Whitelist och anslutningskontroll | Inför processer för godkännande, allowlisting och övervakning av anslutna tredjepartsapplikationer. |
| IP- och MFA-skydd | Implementera IP-begränsningar, blockera åtkomst via kommersiella VPN (t.ex. Mullvad), och kräva multifaktorautentisering (MFA). |
| Övervakning och automatisk respons | Använd Salesforce Shield för att upptäcka ovanliga nedladdningar, skapa transaktionsbaserade säkerhetspolicys, och granska loggar för anomalier. |
