Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Ataque a Gainsight: ShinyHunters y el riesgo para Salesforce
Noticias

Ataque a Gainsight: ShinyHunters y el riesgo para Salesforce

por Dragora
Escrito por Dragora

La empresa de gestión de experiencia del cliente Gainsight ha confirmado que la reciente actividad sospechosa dirigida contra sus aplicaciones ha afectado a más clientes de los que se pensaba inicialmente, en un incidente que involucra directamente a su integración con Salesforce y al notorio grupo de cibercrimen ShinyHunters.

La situación ha encendido las alarmas en el ecosistema SaaS empresarial, especialmente entre organizaciones que dependen de integraciones críticas para la gestión de clientes, marketing, soporte y automatización.

Ampliación del impacto: más clientes afectados

Según informó Gainsight, Salesforce había proporcionado en primera instancia una lista de tres clientes potencialmente comprometidos. Sin embargo, para el 21 de noviembre de 2025, esa lista fue ampliada tras nuevas investigaciones internas.

Aunque la empresa no ha revelado el número total de clientes afectados, su CEO, Chuck Ganapathi, indicó:

“Actualmente solo conocemos a unos pocos clientes a los que se les ha visto afectados los datos”.

Este tipo de declaraciones, habituales en fases tempranas de una investigación forense, sugiere que el alcance real del incidente podría expandirse en las próximas semanas a medida que se analizan los registros de acceso y tráfico malicioso.

Tokens revocados e integraciones suspendidas: respuesta en cadena

El incidente se desencadenó después de que Salesforce detectara actividad inusual asociada a aplicaciones publicadas por Gainsight dentro de su plataforma.

Como medida de contención inmediata, Salesforce procedió a:

✔ Revocar todos los tokens de acceso y actualización relacionados con dichas aplicaciones
✔ Inhabilitar temporalmente ciertas integraciones de terceros
✔ Compartir indicadores de compromiso (IoCs) con sus clientes corporativos

Ante el desarrollo, otras compañías tomaron medidas defensivas proactivas:

  • Zendesk, Gong.io y HubSpot suspendieron temporalmente sus integraciones con Gainsight.

  • Google deshabilitó clientes OAuth relacionados con URI de devolución de llamada de Gainsight (

    1
    gainsightcloud[.]com

    ).

  • HubSpot confirmó que no existen evidencias de compromiso en su propia infraestructura.

Esto pone de manifiesto cómo un incidente en un solo proveedor puede generar una reacción en cascada en todo un ecosistema tecnológico altamente interconectado.

Productos de Gainsight afectados por la interrupción

Durante la investigación, Gainsight publicó una lista de productos que experimentaron restricciones temporales para leer y escribir datos en Salesforce:

  • Customer Success (CS)

  • Community (CC)

  • Northpass – Customer Education (CE)

  • Skilljar (SJ)

  • Staircase (ST)

Aunque Gainsight aclaró que Staircase no fue directamente afectado, su conexión fue eliminada preventivamente por Salesforce mientras continúa la investigación.

Indicadores técnicos del ataque

Tanto Salesforce como Gainsight publicaron IoCs para ayudar a las organizaciones a detectar posibles compromisos.

Entre los elementos destacados se encuentra la cadena de agente de usuario:

Salesforce-Multi-Org-Fetcher/1.0

Este User-Agent ya ha sido vinculado previamente con actividades maliciosas en otros incidentes, como ataques relacionados con Salesloft Drift.

También se identificaron direcciones IP utilizadas en tareas de reconocimiento y accesos no autorizados, siendo una de las primeras:

  • 3.239.45[.]43 — detectada el 23 de octubre de 2025

Posteriormente, se observaron nuevas oleadas de actividad maliciosa desde el 8 de noviembre de 2025, coordinadas contra entornos con tokens de Gainsight comprometidos.

Recomendaciones clave para clientes afectados

Gainsight ha recomendado a sus clientes seguir una serie de medidas preventivas mientras continúa la investigación:

 Rotar todas las claves de acceso, incluyendo:

  • AWS S3

  • BigQuery

  • Zuora

  • Snowflake

  • Otros conectores integrados con Gainsight

Acceder directamente a Gainsight NXT y no a través de Salesforce, hasta que la integración se restablezca por completo.

 Restablecer contraseñas de usuarios que no utilicen SSO.

 Reautorizar todas las aplicaciones o integraciones que dependan de tokens o credenciales.

Según la compañía:

“Estas medidas son preventivas y están diseñadas para garantizar que su entorno permanezca seguro mientras continúa la investigación”.

ShinyHunters y el surgimiento de ShinySp1d3r

El ataque a Gainsight se produce en paralelo con el desarrollo de una nueva plataforma de Ransomware-as-a-Service (RaaS) denominada ShinySp1d3r, vinculada a una alianza criminal compuesta por:

  • Scattered Spider

  • LAPSUS$

  • ShinyHunters (SLSH)

Según datos de ZeroFox, este grupo ha sido responsable de al menos 51 ataques en el último año, convirtiéndose en uno de los actores más activos y peligrosos del panorama global.

Capacidades técnicas avanzadas de ShinySp1d3r

Lo que hace especialmente peligrosa a esta nueva plataforma RaaS es su alto nivel de sofisticación técnica. Entre sus funciones destacadas se incluyen:

  • Hooking de EtwEventWrite para evadir el registro en el Visor de Eventos de Windows.

  • Finalización inteligente de procesos que bloquean archivos antes de cifrarlos.

  • Sobrescritura de espacio libre en disco con archivos

    1
    .tmp

    para dificultar la recuperación forense.

  • Capacidad para cifrar compartidos de red automáticamente.

  • Propagación lateral mediante:

    • deployViaSCM

    • deployViaWMI

    • attemptGPODeployment

Estas capacidades lo posicionan como una evolución peligrosa frente a otros cifradores actuales.

El cerebro detrás del ransomware

Según una investigación del periodista de ciberseguridad Brian Krebs, uno de los responsables del desarrollo y distribución de ShinySp1d3r sería un actor conocido como “Rey” o @ReyXBF, identificado como Saif Al-Din Khader.

Este individuo fue anteriormente administrador de BreachForums y de la web de filtraciones del ransomware HellCat, y afirma haber colaborado con fuerzas del orden desde junio de 2025, mientras desarrollaba esta nueva versión del malware con herramientas de inteligencia artificial.

Una amenaza híbrida: ransomware + extorsión + reclutamiento

De acuerdo con Matt Brady, investigador de Unit 42 (Palo Alto Networks):

“La combinación de RaaS con EaaS (extorsión como servicio) y capacidades de reclutamiento interno convierte a SLSH en un adversario formidable”.

Esta estructura híbrida permite a estos grupos operar como verdaderas organizaciones criminales, diversificando sus vías de monetización y ampliando su superficie de ataque.

Lecciones para las empresas SaaS

Este incidente demuestra tres realidades críticas:

  1. Las integraciones SaaS son ahora un vector de ataque prioritario.

  2. Los tokens y credenciales son un blanco de alto valor para los atacantes.

  3. Las alianzas entre grupos criminales están elevando el nivel de sofisticación del ransomware.

Las organizaciones deben reforzar sus controles de seguridad en entornos de terceros, implementar monitorización continua y revisar periódicamente el acceso privilegiado en APIs e integraciones externas.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!