Der erste Angriffsweg begann laut Microsoft Mitte 2025 mit Telefonanrufen, bei denen sich die Angreifer als IT-Support ausgaben. Per Voice-Phishing führten sie Beschäftigte durch den OAuth-Zustimmungsdialog von Salesforce und brachten sie dazu, eine von den Angreifern kontrollierte Connected App zu autorisieren, die als Data Loader von Salesforce getarnt war. Nach der Freigabe konnte die App im Namen des Nutzers API-Aufrufe ausführen, Daten der jeweiligen Salesforce-Organisation auflisten, dauerhaft auf CRM-Datensätze zugreifen und nach Zugangsdaten suchen, die weitere SaaS-Plattformen öffnen könnten.
Microsoft verweist hier auf die Kampagne, die Googles Threat Intelligence Group und Mandiant Mitte 2025 dokumentierten. Google und Mandiant verfolgten den Erstzugang als UNC6040 und die anschließende Erpressung als UNC6240; beide Gruppen gaben sich demnach als ShinyHunters aus, um den Druck auf Betroffene zu erhöhen. Google bestätigte, dass im Juni 2025 eine eigene Salesforce-Instanz des Unternehmens betroffen war. Dabei seien überwiegend öffentliche geschäftliche Kontaktdaten entnommen worden, bevor Google den Zugriff unterband. Öffentlich mit derselben Welle in Verbindung gebracht wurden zudem Vorfälle bei Chanel und Pandora; auch Adidas, Qantas, Allianz Life und mehrere Marken von LVMH wurden als Ziele genannt.
Der zweite Pfad setzt nicht bei Beschäftigten an, sondern bei Drittanbietern. Hier kompromittieren Angreifer laut Microsoft einen Anbieter, dessen App bereits OAuth-Zugriff auf die Salesforce-Organisationen seiner Kunden hat, stehlen Verbindungsgeheimnisse oder Token und fragen darüber Daten aus vielen nachgelagerten Instanzen gleichzeitig ab. Weil die Anfragen von einer genehmigten Integration stammen, lösen sie keine üblichen Anmeldewarnungen aus.
Als deutlichstes Beispiel nennt Microsoft den Vorfall um Salesloft Drift vom August 2025. Dabei wurden OAuth- und Refresh-Token der Drift-AI-Chat-Integration gestohlen und gegen Salesforce-Umgebungen von Kunden eingesetzt. Google schätzte, dass dadurch potenziell mehr als 700 Organisationen betroffen waren, darunter Cloudflare, Zscaler, Palo Alto Networks, Proofpoint, PagerDuty und Tanium. Google verfolgt diesen Cluster als UNC6395, Cloudflares Cloudforce One nennt ihn GRUB1. Salesloft führte die Ursache später auf einen bereits seit März 2025 bestehenden Zugriff der Angreifer auf ein GitHub-Konto zurück. Darüber sei die AWS-Umgebung von Drift erreicht und die Token seien abgeschöpft worden. Laut Quelltext suchten die Betreiber gezielt nach Geheimnissen, durchsuchten per SOQL Support-Fälle und andere Objekte nach AWS-Schlüsseln, Snowflake-Token und Passwörtern und löschten anschließend ihre Abfragejobs, um Untersuchungen zu erschweren.
Nach demselben Muster verlief laut Microsoft der Gainsight-Vorfall vom November 2025. Salesforce entfernte von Gainsight veröffentlichte Apps, nachdem ungewöhnliche API-Aktivität aufgefallen war. GTIG ordnete die Kampagne ShinyHunters-Ablegern zu und sprach von mehr als 200 betroffenen Salesforce-Instanzen. Die Personen hinter dem Namen ShinyHunters behaupteten, die Wellen um Salesloft und Gainsight hätten zusammen fast 1.000 Organisationen erreicht; unabhängig bestätigt ist diese Zahl laut Quelltext nicht.
Der jüngste Fall betrifft Klue im Juni 2026. Dort drangen Angreifer laut Microsoft über veraltete, aber noch aktive Zugangsdaten aus einer nie produktiv eingesetzten Testintegration ein, spielten ein Code-Update aus, das OAuth-Token von Kunden sammelte, und nutzten diese für den Zugriff auf Salesforce- und Gong-Daten von Klue-Kunden, darunter Huntress und Recorded Future. Microsoft verfolgt diesen Akteur als Storm-3138. Der Quelltext weist zugleich darauf hin, dass andere Berichte, darunter von Huntress und Datadog, die mit Klue verbundene Erpressung einer Gruppe namens Icarus zuordnen; auch ein Telegram-Konto, das sich als ShinyHunters ausgab, reklamierte die Tat für sich.
Der dritte Angriffsweg kommt nach Angaben von Microsoft ganz ohne Zugangsdaten aus. Das Unternehmen beobachtete verdächtige Gastnutzer-Aktivitäten gegen Salesforce-Aura-Endpunkte, die hinter Experience-Cloud-Seiten stehen. Waren Gastberechtigungen fehlkonfiguriert, konnten die Akteure auf Aura-Funktionen ohne Authentifizierung zugreifen. Über den GraphQL-Aura-Controller nutzten sie cursorbasierte Paginierung, um Datensätze über das übliche Abfragelimit von 2.000 Einträgen hinaus auszulesen. Microsofts Erkennung verweist in diesem Zusammenhang auf das Werkzeug AuraInspector. Eine Schwachstelle sei dabei nicht ausgenutzt worden; vielmehr habe die jeweilige Organisation der Gastrolle zu weitreichende Einsicht erlaubt.
Gemeinsam mit Salesforce hat Microsoft nach eigenen Angaben in Defender for Cloud Apps zusätzliche Erkennungs- und Governance-Funktionen bereitgestellt. Für Kunden mit Salesforce Shield Event Monitoring bindet der aktualisierte Salesforce-Konnektor das Framework für Echtzeit-Ereignisüberwachung für nahezu Echtzeit-Erkennung ein und ergänzt die Zuordnung zu Connected Apps, deren OAuth-Berechtigungsumfängen sowie weitere Sitzungs- und API-Kontexte. Hinzu kommen Funktionen zur Bewertung verbundener OAuth-Apps: eine Ansicht besonders privilegierter Anwendungen, Hinweise auf seit 90 Tagen oder länger ungenutzte Apps mit weiterhin aktiven Rechten sowie ein Risikowert von 0 bis 100 pro App, der sich in Warnungen und Richtlinien einbinden lässt.
