Gainsight ha anunciado que la reciente actividad sospechosa contra sus aplicaciones ha afectado a más clientes de lo estimado anteriormente.
La compañía dijo que Salesforce inicialmente proporcionó una lista de tres clientes afectados y que la lista se había “ampliado a una lista más grande” a partir del 21 de noviembre de 2025. El número exacto de clientes afectados no fue revelado, pero el CEO Chuck Ganapathi dijo: “Actualmente solo conocemos a un puñado de clientes cuyos datos se vieron afectados”.
El desarrollo se produce después de que Salesforce advirtiera sobre la detección de una “actividad inusual” relacionada con las aplicaciones publicadas por Gainsight conectadas a la plataforma, lo que llevó a la compañía a revocar todos los accesos asociados y actualizar los tokens. La violación fue reclamada por un notorio grupo de cibercrimen llamado ShinyHunters (también conocido como Bling Libra).
Se tomaron otras medidas de precaución para contener el incidente. Esto incluye que Zendesk, Gong.io y HubSpot suspendan temporalmente sus integraciones con Gainsight y que Google deshabilite los clientes OAuth con URI de devolución de llamada como Gainsightcloud(.)com. HubSpot dijo en su propio informe que no encontró evidencia de que su propia infraestructura o sus clientes estuvieran comprometidos.
En una pregunta frecuente, Gainsight también enumeró los productos para los cuales la capacidad de lectura y escritura de Salesforce no estaba disponible temporalmente:
- Éxito del cliente (CS)
- Comunidad (CC)
- Northpass – Formación del cliente (CE)
- Jarra de habilidad (SJ)
- Escalera (ST)
Sin embargo, la compañía enfatizó que Staircase no se vio afectada por el incidente y Salesforce eliminó la conexión de Staircase por precaución en respuesta a una investigación en curso.
Tanto Salesforce como Gainsight han publicado indicadores de compromiso (IoC) relacionados con la infracción, con una cadena de agente de usuario, “Salesforce-Multi-Org-Fetcher/1.0”, utilizada para acceso no autorizado y también marcada como utilizada anteriormente en la actividad Salesloft Drift.
Para proteger aún más sus entornos, se solicita a los clientes que sigan los siguientes pasos:
- Gire las claves de acceso al depósito de S3 y otros conectores, como BigQuery, Zuora, Snowflake, etc., que se utilizan para las conexiones a Gainsight.
- Inicie sesión directamente en Gainsight NXT en lugar de hacerlo a través de Salesforce hasta que la integración se restablezca por completo.
- Restablezca las contraseñas de los usuarios de NXT para todos los usuarios que no se autentiquen mediante SSO.
- Reautorizar cualquier aplicación o integración conectada que dependa de credenciales o tokens de usuario
“Estas medidas son de naturaleza preventiva y tienen como objetivo garantizar que su entorno permanezca seguro mientras continúa la investigación”, dijo Gainsight.
El desarrollo se produce en el contexto de una nueva plataforma de ransomware como servicio (RaaS) llamada ShinySp1d3r (también escrita como Sh1nySp1d3r), que está siendo desarrollada por Scattered Spider, LAPSUS$ y ShinyHunters (SLSH). Los datos de ZeroFox revelaron que la alianza cibercriminal fue responsable de al menos 51 ataques cibernéticos el año pasado.
“Si bien el cifrador ShinySp1d3r tiene algunas características comunes a otros cifradores, también tiene características nunca antes vistas en el espacio RaaS”, dijo la compañía.
“Estos incluyen: incorporar la función EtwEventWrite para evitar el registro del Visor de eventos de Windows, finalizar procesos que mantienen abiertos los archivos – lo que normalmente evitaría el cifrado – iterando sobre los procesos antes de finalizarlos, (y) llenar el espacio libre en una unidad escribiendo datos aleatorios contenidos en un archivo .tmp, que probablemente sobrescribirá cualquier archivo eliminado”.
ShinySp1d3r también tiene la capacidad de buscar y cifrar recursos compartidos de red abiertos y distribuirlos a otros dispositivos en la red local a través de implementarViaSCM, implementarViaWMI y tryGPODeployment.
En un informe publicado el miércoles, el periodista independiente de ciberseguridad Brian Krebs dijo que la persona responsable de difundir el ransomware es un miembro principal de SLSH llamado “Rey” (también conocido como “Rey”) @ReyXBF), quien también es uno de los tres administradores del canal Telegram del grupo. Rey fue anteriormente administrador de BreachForums y del sitio web de filtración de datos del ransomware HellCat.
Rey, cuya identidad fue revelada como Saif Al-Din Khader, le dijo a Krebs que ShinySp1d3r era una nueva versión de HellCat modificada con herramientas de inteligencia artificial (IA) y que había estado trabajando con las fuerzas del orden desde al menos junio de 2025.
“La aparición de un programa RaaS junto con una oferta EaaS (extorsión como servicio) convierte a SLSH en un adversario formidable en términos de la amplia red que pueden lanzar contra organizaciones que utilizan múltiples métodos para monetizar sus operaciones de intrusión”, dijo Matt Brady, investigador de la Unidad 42 de Palo Alto Networks. “Además, el elemento de reclutamiento interno proporciona otra capa de defensa para las organizaciones”.
About The Author
