Insiden keamanan yang menargetkan aplikasi Gainsight kembali mencuat setelah perusahaan tersebut mengungkap bahwa jumlah pelanggan yang terdampak lebih besar daripada estimasi awal. Salesforce sebelumnya hanya melaporkan tiga pelanggan yang terpengaruh, namun daftar tersebut mengalami perluasan signifikan pada 21 November 2025. Meski jumlah pastinya tidak dibuka ke publik, CEO Gainsight, Chuck Ganapathi, menegaskan bahwa hanya sebagian kecil pelanggan yang diketahui mengalami dampak pada data mereka.
Perkembangan ini mencuat bersamaan dengan peringatan dari Salesforce mengenai aktivitas tidak biasa yang terdeteksi pada aplikasi terbitan Gainsight di platform mereka. Situasi tersebut mendorong Salesforce untuk mencabut seluruh akses dan token refresh terkait integrasi Gainsight. Serangan ini juga diklaim oleh kelompok kejahatan siber ShinyHunters, yang dikenal luas dengan nama Bling Libra, sehingga meningkatkan kekhawatiran terhadap potensi eskalasi insiden.
Sebagai langkah mitigasi, sejumlah platform besar seperti Zendesk, Gong.io, dan HubSpot memilih menangguhkan integrasi Gainsight untuk sementara. Google juga mengambil tindakan pencegahan dengan menonaktifkan OAuth client yang menggunakan callback URI seperti gainsightcloud[.]com. Dalam pernyataannya, HubSpot memastikan bahwa tidak ditemukan bukti kompromi terhadap infrastruktur atau pelanggan mereka. Di sisi Gainsight, beberapa produk yang menggunakan kemampuan membaca dan menulis data dari Salesforce juga mengalami penghentian sementara, yaitu Customer Success (CS), Community (CC), Northpass – Customer Education (CE), Skilljar (SJ), dan Staircase (ST), meskipun Gainsight menegaskan bahwa Staircase tidak terdampak dan hanya dicabut sebagai antisipasi.
Salesforce dan Gainsight kemudian merilis sejumlah indikator kompromi (IoC) untuk membantu pelanggan mengenali aktivitas mencurigakan. Salah satu yang menonjol adalah user-agent “Salesforce-Multi-Org-Fetcher/1.0” yang digunakan dalam akses tidak sah dan sebelumnya juga teridentifikasi dalam insiden yang berkaitan dengan Salesloft Drift. Catatan investigasi Salesforce menunjukkan bahwa proses pengintaian terhadap pelanggan yang akses token Gainsight-nya telah disusupi pertama kali terjadi pada 23 Oktober 2025 melalui IP 3.239.45[.]43, kemudian diikuti gelombang aktivitas lanjutan sejak 8 November.
Sebagai bagian dari upaya pengamanan tambahan, Gainsight meminta pelanggan untuk melakukan beberapa langkah kritis. Di antaranya mengganti akses key S3 bucket serta konektor lain seperti BigQuery, Zuora, dan Snowflake, masuk ke Gainsight NXT secara langsung tanpa melalui Salesforce, mengatur ulang kata sandi pengguna NXT yang tidak menggunakan SSO, serta melakukan otorisasi ulang aplikasi terhubung yang bergantung pada token atau kredensial pengguna. Gainsight menegaskan bahwa langkah-langkah tersebut bersifat preventif agar lingkungan pelanggan tetap aman selama proses investigasi berlangsung.
Di tengah penanganan insiden Gainsight, muncul pula informasi mengenai platform ransomware-as-a-service (RaaS) baru bernama ShinySp1d3r atau Sh1nySp1d3r yang dikembangkan oleh aliansi kriminal Scattered Spider, LAPSUS$, dan ShinyHunters (SLSH). Laporan ZeroFox menunjukkan bahwa kelompok ini bertanggung jawab atas sedikitnya 51 serangan siber dalam satu tahun terakhir. ShinySp1d3r disebut memiliki fitur unik yang belum terlihat pada RaaS lain, seperti kemampuan mematikan fungsi logging Windows Event Viewer, menghentikan proses yang menahan file agar tetap terbuka, serta menuliskan data acak pada ruang kosong drive guna menimpa data yang telah dihapus.
Kemampuan tambahan ShinySp1d3r yang memungkinkan pencarian share network terbuka, enkripsi file, hingga penyebaran lateral melalui deployViaSCM, deployViaWMI, dan attemptGPODeployment membuatnya semakin berbahaya. Jurnalis siber Brian Krebs melaporkan bahwa individu yang merilis ransomware ini adalah anggota inti SLSH bernama “Rey” atau @ReyXBF, yang sebelumnya aktif sebagai admin BreachForums dan situs kebocoran data HellCat ransomware. Identitas Rey telah diungkap sebagai Saif Al-Din Khader, yang mengklaim bahwa ShinySp1d3r merupakan pengembangan ulang HellCat dengan bantuan AI dan bahwa ia telah bekerja sama dengan aparat sejak Juni 2025.
Menurut Matt Brady dari Unit 42 Palo Alto Networks, kemunculan RaaS bersamaan dengan layanan extortion-as-a-service (EaaS) menjadikan SLSH lawan yang jauh lebih rumit. Kombinasi kemampuan teknis, model monetisasi berlapis, serta elemen perekrutan insider semakin memperluas jangkauan serangan dan menambah tantangan bagi organisasi dalam memperkuat pertahanan siber mereka.