Campagne Salesloft : Zscaler, Palo Alto Networks, Cloudflare et BeyondTrust allongent la liste des v

Zscaler, Palo Alto Networks, Cloudflare et BeyondTrust ont rejoint la liste des organisations compromises par une attaque généralisée visant la chaîne logistique du logiciel.

Au début du mois dernier, un acteur malveillant suivi sous la référence UNC6395 par Mandiant a piraté le logiciel marketing en mode service Salesloft Drift, volant des jetons OAuth à partir de son intégration Salesforce afin d'accéder aux données appartenant à certains environnements clients de Salesloft. Salesloft a révélé l'incident le 20 août, avant de fournir des détails additionnels six jours plus tard. Du 8 au 18 août, « un acteur malveillant a utilisé des identifiants OAuth pour exfiltrer des données des environnements Salesforce de nos clients ».

Salesloft a pris des mesures pour révoquer les jetons d'accès actifs dans Drift, tout en informant les clients concernés et en engageant Mandiant et Coalition pour l'aider à gérer l'incident.

Fin août, Google (propriétaire de Mandiant) a déclaré conseiller, en raison de l'ampleur de l'incident, «à tous les clients Salesloft Drift de considérer tous les jetons d'authentification stockés dans la plateforme Drift ou connectés à celle-ci comme potentiellement compromis ». Google a également déclaré qu'un « très petit nombre » de comptes Workspace avaient été touchés et que d'autres intégrations Salesloft étaient apparemment concernées.

Dans une mise à jour publiée le 28 août, Salesforce a déclaré avoir désactivé toutes les intégrations Salesloft à Salesforce jusqu'à nouvel ordre.

Bien qu'au moment de sa mise à jour du 26 août, Salesloft ait déclaré ne pas avoir constaté de preuve d'activité malveillante en cours, plusieurs clients ont depuis fait des déclarations, affirmant avoir été touchés dans le cadre d'un incident lié à la chaîne logistique. Parmi eux figurent deux poids lourds de la sécurité, Zscaler et Palo Alto Networks, mais également Cloudflare et BeyondTrust.

Le 30 août, Sam Curry, responsable de la sécurité des systèmes d'information (RSSI) chez Zscaler, a publié un article de blog révélant que, dans le cadre de la campagne UNC6395, « des acteurs non autorisés ont accédé aux identifiants Salesloft Drift de ses clients, dont Zscaler », et qu'il a déterminé que « ces identifiants ont permis un accès limité à certaines informations Salesforce de Zscaler ».

Les auteurs de la menace ont accédé à des données telles que les noms, les adresses e-mail professionnelles, les intitulés de poste, les numéros de téléphone, les détails régionaux/géographiques, les informations commerciales et les licences des produits Zscaler, ainsi que le contenu en clair de certains dossiers d'assistance. Selon Zscaler, cela concerne « un grand nombre de nos clients », bien que M. Curry ait souligné que, « après une enquête approfondie, Zscaler n'a actuellement trouvé aucune preuve suggérant une utilisation abusive de ces informations ».

De son côté, BeyondTrust indique que « les auteurs de la menace avaient un accès limité à nos données Salesforce et l'impact s'est limité à Salesforce. Bien que nous n'ayons aucune preuve que les informations des clients aient été utilisées à mauvais escient, compte tenu de l'exposition potentielle des coordonnées professionnelles, nous recommandons une vigilance accrue face aux éventuelles attaques de phishing et d'ingénierie sociale ».

Pour ce qui le concerne, Cloudflare dit avoir, la semaine dernière, « détecté une activité suspecte au sein de [son] tenant Salesforce et a appris que, tout comme des centaines d'autres entreprises, nous avions été la cible d'un acteur malveillant qui avait réussi à exfiltrer les champs de texte des dossiers d'assistance de notre instance Salesforce ».

En réponse, son équipe de sécurité « a immédiatement ouvert une enquête, coupé l'accès à l'auteur de la menace et pris un certain nombre de mesures […] pour sécuriser notre environnement ».

Selon l’enquête, « l'auteur de la menace a compromis et exfiltré des données de notre tenant Salesforce entre le 12 et le 17 août 2025, après une reconnaissance initiale observée le 9 août 2025 ».

L'exposition apparaît « limitée aux objets de cas Salesforce, qui consistent principalement en des tickets d'assistance client et leurs données associées au sein de notre tenant Salesforce. Ces objets de cas contiennent les coordonnées des clients liées au cas d'assistance, les objets des cas et le corps de la correspondance relative aux cas, mais pas les pièces jointes aux cas ».

Pour Cloudflare, « tout ce qui a été partagé via ce canal doit désormais être considéré comme compromis ».