.png)
Badan Investigasi Federal Amerika Serikat (FBI) baru-baru ini mengeluarkan peringatan darurat (flash alert) yang memuat indikator kompromi (IoCs) terkait dua kelompok peretas berinisial UNC6040 dan UNC6395. Kedua grup kriminal siber ini aktif dalam serangkaian operasi pencurian data dan pemerasan dengan memanfaatkan celah keamanan dalam platform Salesforce yang banyak digunakan oleh perusahaan-perusahaan global.
Peringatan dari FBI ini bukanlah tindakan biasa. Ini menandakan adanya ancaman nyata dan terukur yang memerlukan kewaspadaan tinggi, terutama dari organisasi yang mengandalkan ekosistem Salesforce untuk operasional bisnis mereka. Serangan yang dilancarkan oleh kedua kelompok ini menunjukkan kecanggihan dan determinasi yang mengkhawatirkan, dengan teknik akses awal yang berbeda namun sama-sama berdampak fatal.
Kelompok pertama, UNC6395, diidentifikasi sebagai aktor di balik kampanye pencurian data besar-besaran yang menargetkan instance Salesforce pada Agustus 2025. Modus operandi mereka berpusat pada eksploitasi token OAuth yang terkompromi dari aplikasi Salesloft Drift, sebuah chatbot AI populer yang terintegrasi dengan Salesforce.
Sumber masalahnya ternyata bermula dari pelanggaran keamanan yang berlangsung lama. Salesloft, pengembang aplikasi Drift, mengonfirmasi bahwa akun GitHub perusahaan mereka telah dibobol dari bulan Maret hingga Juni 2025. Pembobolan inilah yang memungkinkan para penyerang mendapatkan akses ke kredensial dan token OAuth yang kemudian disalahgunakan untuk menyusup ke Salesforce milik pelanggan Drift.
Menyikapi insiden tersebut, Salesloft mengambil langkah drastis dengan mengisolasi infrastruktur Drift dan sementara waktu menonaktifkan aplikasi chatbot AI-nya. Perusahaan juga sedang dalam proses menerapkan otentikasi multi-faktor baru dan langkah-langkah pengerasan keamanan untuk GitHub. Salesloft secara terbuka menyarankan semua pelanggan Drift untuk memperlakukan semua integrasi dan data yang terkait dengan Drift sebagai sesuatu yang berpotensi telah dikompromikan, menekankan pentingnya audit keamanan menyeluruh.
Sementara UNC6395 memanfaatkan token yang bocor, kelompok kedua, UNC6040, yang aktif sejak Oktober 2024, menggunakan pendekatan yang lebih personal dan manipulatif: vishing (voice phishing). Grup yang diidentifikasi pertama kali oleh Google ini memulai serangannya dengan menelepon karyawan korban dan melakukan rekayasa sosial yang rumit untuk mendapatkan kredensial login.
Yang membedakan UNC6040 adalah kecanggihan teknisnya setelah mendapatkan akses awal. Alih-alih melakukan aksi yang mencolok, mereka diam-diam menggunakan versi modifikasi dari aplikasi resmi Salesforce Data Loader, ditambah dengan skrip Python khusus, untuk menyeduh data secara massal dari portal Salesforce korban. FBI mencatat bahwa para ancaman aktor ini menggunakan kueri API untuk mengeksfiltrasi data dalam volume sangat besar dengan efisien.
Yang lebih mengkhawatirkan, fase pemerasan seringkali terjadi berbulan-bulan setelah pencurian data awal. Korban mungkin tidak menyadari bahwa data mereka telah dicuri sampai tiba-tiba diancam untuk dibocorkan secara publik jika tebusan tidak dibayar.
Fase pemerasan dalam serangan UNC6040 ini diatribusikan oleh Google kepada kelompok lain yang disebut UNC6240, yang secara konsisten mengklaim dirinya sebagai grup ShinyHunters yang terkenal kejam dalam komunikasi pemerasannya. Google juga memperkirakan bahwa ancaman aktor yang menggunakan merek ShinyHunters mungkin akan meningkatkan taktik dengan meluncurkan situs pembocoran data (data leak site/DLS) untuk memberi tekanan lebih besar pada korban.
Namun, perkembangan terbaru justru menunjukkan arah yang seolah-olah berlawanan. Pada 12 September 2025, sebuah kanal Telegram dengan nama "scattered LAPSUS$ hunters 4.0"—
yang diduga merupakan konsolidasi dari grup-grup terkemuka seperti ShinyHunters, Scattered Spider, dan LAPSUS$—
mengumumkan bahwa mereka "mengucapkan selamat tinggal" dan akan "menghilang" karena "tujuan telah terpenuhi".
Para pakar keamanan siber, seperti Sam Rubin dari Unit 42 Consulting, memperingatkan agar komunitas tidak cepat percaya dengan pengumuman "pensiun" ini. Sejarah menunjukkan bahwa kelompok ancaman siber seringkali hanya melakukan rebranding, pecah, dan muncul kembali dengan nama baru. Pengumuman seperti ini bisa jadi hanya strategi untuk mengecoh penegak hukum dan mengurangi sorotan, sementara data yang dicuri tetap dapat muncul di masa depan dan pintu belakang yang tertanam masih mungkin bertahan.