Nach Darstellung von ShinyHunters gegenüber BleepingComputer drangen die Angreifer am 1. April in die Systeme von Charter ein. Ausgangspunkt sei eine Voice-Phishing-Attacke (Vishing) gewesen, mit der das Microsoft-Entra-Konto eines Mitarbeiters kompromittiert wurde. Über diesen Zugang hätten die Täter anschließend Millionen von Datensätzen aus der Salesforce-Instanz des Unternehmens exportiert.

Den Angaben der Angreifer zufolge enthalten die gestohlenen Datensätze Kundennamen, E-Mail-Adressen, Anschriften, Telefonnummern, den Anschlusstyp sowie Tarifinformationen und teilweise CPNI-Daten. Zusätzlich wollen die Täter Daten aus dem Kundensupport — konkret Support-Tickets — erbeutet haben. BleepingComputer fragte bei Charter erneut zu diesen weiterreichenden Behauptungen nach, wurde aber auf die ursprüngliche Stellungnahme verwiesen, die einen Abfluss von CPNI-Daten bestreitet.

ShinyHunters führt seit dem vergangenen Jahr breit angelegte Social-Engineering-Kampagnen durch, die gezielt auf Beschäftigte und Mitarbeiter von Dienstleistern (BPO) abzielen — insbesondere auf deren Konten bei Microsoft Entra, Okta und Google SSO. Hat die Gruppe ein solches Single-Sign-on-Konto übernommen, greift sie Daten aus angebundenen Cloud-Diensten ab, darunter Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk und Dropbox. Anschließend wird das Unternehmen mit der angedrohten Veröffentlichung der Daten erpresst.

Salesforce ist dabei ein bevorzugtes Ziel der Gruppe: Die Täter kompromittierten mehrere Integrationsdienstleister, um OAuth-Token zu stehlen, mit denen sich anschließend Salesforce-Instanzen ansteuern lassen.

Zuletzt griff ShinyHunters wiederholt das Bildungstechnik-Unternehmen Instructure an, was zu Ausfällen der Plattform Canvas und zum Diebstahl von Daten zehntausender — beziehungsweise nach anderen Angaben mehrerer zehn Millionen — Studierender führte. Instructure erklärte, schließlich eine „Vereinbarung" mit der Erpressergruppe erzielt zu haben, was darauf hindeutet, dass das Unternehmen ein Lösegeld zahlte, um die Veröffentlichung der gestohlenen Daten zu verhindern.