Ironia cyberbezpieczeństwa. Hakerzy ShinyHunters zhackowali Google po tym, gdy firma ostrzegała innych przed ich atakami

Google stało się ofiarą ataku cyberprzestępczego, który pokazuje jak współczesne zagrożenia ewoluują w kierunku coraz bardziej wyrafinowanych form social engineeringu. Incydent ujawnia słabości nawet w najlepiej zabezpieczonych systemach korporacyjnych, gdy cyberprzestępcy wykorzystują ludzki czynnik jako główny wektor ataku. Atak przeprowadzony przez grupę ShinyHunters jest przykładem nowego trendu w cyberprzestępczości.

Ataki vishingowe pokazują, że nawet największe firmy muszą wzmacniać ochronę przed socjotechniką i odpowiednio szkolić personel.

Cisco Talos ujawnia krytyczne luki w firmware laptopów Dell Latitude i Precision umożliwiających instalację trwałego malware

Google Threat Intelligence Group oficjalnie potwierdziło naruszenie bezpieczeństwa jednej z korporacyjnych platform Salesforce przez grupę cyberprzestępczą znaną jako ShinyHunters, określaną również kodowo jako UNC6040. Atak przeprowadzony w czerwcu 2025 roku wykorzystał zaawansowane techniki voice phishing, które pozwoliły przestępcom uzyskać dostęp do bazy danych zawierającej informacje kontaktowe małych i średnich przedsiębiorstw będących klientami Google. Ironia całej sytuacji polega na tym, że Google wcześniej ostrzegało inne organizacje przed działaniami tej samej grupy hakerskiej. W czerwcu Google Threat Intelligence Group opublikowało szczegółową analizę taktyk ShinyHunters, opisując jak cyberprzestępcy wykorzystują telefony do manipulowania pracowników firm w celu instalacji zmodyfikowanych wersji aplikacji Salesforce Data Loader. Mimo publikacji tego przewodnika zabezpieczeń, Google samo padło ofiarą identycznych technik zaledwie kilka tygodni później.

Pracownicy korzystają z AI bez pozwolenia i kosztuje to firmy fortunę. IBM ujawnia dane o shadow AI

Metoda ataku wykorzystana przez ShinyHunters wykorzystuje wyrafinowany social engineering. Cyberprzestępcy dzwonią do pracowników firm, podszywając się pod personel IT, i przekonują ich do zainstalowania pozornie legalnej aplikacji Salesforce Data Loader. W rzeczywistości jest to zmodyfikowana wersja narzędzia, która po autoryzacji przez 8-cyfrowy kod połączenia umożliwia hakerom pełny dostęp do środowiska Salesforce ofiary. Google Threat Intelligence Group zaobserwowało ewolucję taktyk grupy. Przestępcy przeszli od wykorzystywania standardowej aplikacji Data Loader do używania własnych skryptów Python, a także ukrywania swojej aktywności poprzez sieci Mullvad VPN i TOR. ShinyHunters zyskali rozgłos w 2024 roku dzięki serii ataków na instancje Snowflake, które dotknęły około 165 organizacji, w tym AT&T, Santander Bank czy Ticketmaster. Grupa wykorzystywała wtedy skradzione poświadczenia i słabości w uwierzytelnianiu wieloskładnikowym. Obecna kampania przeciwko systemom Salesforce reprezentuje nową fazę działalności grupy, która według ekspertów funkcjonuje raczej jako marka wykorzystywana przez różnych cyberprzestępców, niż jako spójna organizacja. Incydent z Google pokazuje, że nawet najpotężniejsze firmy technologiczne mogą paść ofiarą tego typu ataków, gdy pracownicy zostają skutecznie zmanipulowani.