กลุ่มแฮกเกอร์ที่รวมตัวกันภายใต้ชื่อ "Scattered Lapsus$ Hunters" ซึ่งประกอบด้วยสมาชิกจากกลุ่มอาชญากรไซเบอร์ชื่อดังอย่าง ShinyHunters, Lapsus$ และ Scattered Spider ได้ประกาศเมื่อเดือนกันยายน 2025 ว่าพวกเขาประสบความสำเร็จในการขโมยข้อมูลจากระบบ Salesforce ได้ถึง 1.5 พันล้านรายการจากบริษัทต่างๆ ทั่วโลกจำนวน 760 แห่ง และในเดือนตุลาคมที่ผ่านมา กลุ่มดังกล่าวได้เปิดตัวเว็บไซต์บน darkweb เพื่อเผยแพร่รายชื่อเหยื่อและข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่ได้รับเงินค่าไถ่ตามที่ต้องการ รายงานจาก BankInfoSecurity และ TechRadar ระบุว่าเว็บไซต์ดังกลาวมีรายชื่อเหยื่อกว่า 39 รายที่ถูกระบุชื่อชัดเจน ซึ่งรวมถึงแบรนด์ใหญ่ระดับโลกอย่าง Cisco, Disney, KFC, Ikea, Marriott, McDonald's และ Walgreens
การโจมตีครั้งนี้เริ่มขึ้นตั้งแต่เดือนมีนาคม 2025 โดยแฮกเกอร์ได้เจาะเข้าไปใน GitHub repository ของ Salesloft ซึ่งเป็นแพลตฟอร์มที่ให้บริการ Drift AI chatbot ที่บริษัทต่างๆ ใช้เชื่อมต่อกับระบบ Salesforce CRM ของตน จากการสอบสวนของ Google Threat Intelligence Group พบว่าผู้โจมตีได้ใช้เครื่องมือชื่อ TruffleHog เพื่อสแกนหา source code และค้นพบ OAuth tokens ที่ใช้ในการเชื่อมต่อระบบ Salesloft Drift และ Drift Email จากนั้นจึงนำ tokens เหล่านี้ไปใช้เข้าถึงข้อมูลภายในระบบ Salesforce ของบริษัทเหยื่อได้โดยตรง
วิธีการโจมตีที่กลุ่มแฮกเกอร์ใช้นั้นผสมผสานทั้งเทคนิค social engineering และ voice phishing (vishing) โดยแฮกเกอร์จะแอบอ้างเป็นเจ้าหนาที่ฝ่าย IT support โทรหาพนักงานของบริษัทเป้าหมาย และหลอกให้พนักงานเข้าไปที่หน้า connected app setup ของ Salesforce แล้วให้ใส่ "connection code" ที่เป็นอันตราย ซึ่งจะทำให้แอปพลิเคชัน OAuth ที่เป็นอันตรายสามารถเชื่อมต่อกับสภาพแวดล้อม Salesforce ของบริษัทได้ ข้อมูลที่ถูกขโมยประกอบด้วยข้อมูลจากตารางต่างๆ ใน Salesforce เช่น accounts, contacts, cases และ opportunities ซึ่งล้วนเป็นข้อมูลที่มีความอ่อนไหวสูงของลูกค้าและธุรกิจ
ผลกระทบจากการโจมตีครั้งนี้ไม่ได้จำกัดอยู่แค่บริษัทขนาดเล็กหรือกลางเท่านั้น แม้แต่ Google ซึ่งเป็นบริษัทเทคโนโลยียักษ์ใหญ่ก็ยอมรับในบล็อกโพสต์เมื่อเดือนสิงหาคม 2025 ว่าระบบ Salesforce CRM หนึ่งของพวกเขาถูกเจาะในเดือนมิถุนายน โดยข้อมูลที่ถูกขโมยประกอบด้วยชื่อธุรกิจและรายละเอียดการติดต่อของลูกค้าธุรกิจขนาดเล็กและกลาง นอกจากนี้ยังมีบริษัทอื่นๆ ที่ได้รับผลกระทบอย่าง Qantas, Allianz Life, LVMH และ Adidas ซึ่งถูกเปิดเผยในรายงานของ BleepingComputer
FBI ได้ออกคำเตือนเกี่ยวกับแคมเปญการโจมตีนี้เมื่อกลางเดือนกันยายน โดยระบุว่ามีกลุ่มผู้คุกคามอย่างน้อย 2 กลุ่มที่ระบุเป็น UNC6040 และ UNC6395 กำลังกำหนดเป้าหมายไปที่ระบบ Salesforce ของบริษัทต่างๆ ด้วยกลยุทธ์ที่แตกต่างกัน ปัจจุบันแฮกเกอร์กำลังใช้เว็บไซต์ data-leak บน darkweb เพื่อกดดันให้เหยื่อออกมาเจรจาและจ่ายเงินค่าไถ่ โดยข่มขู่ว่าหากไม่ได้รับความร่วมมือจะเผยแพร่ข้อมูลที่ถูกขโมยออกสู่สาธารณะ ซึ่งอาจส่งผลกระทบร้ายแรงต่อชื่อเสียงและความไว้วางใจของลูกค้าต่อบริษัทเหล่านั้น