ShinyHunters-Kampagne: Ein Jahr Angriffe auf Salesforce-Systeme
Veröffentlicht: 14.07.2026 um 12:14 Uhr, Redaktion boerse-global.de
Eine Cyberkampagne des Erpresser-Netzwerks ShinyHunters hat über ein Jahr lang Salesforce-Systeme attackiert. Die Gruppe umging Sicherheitsmaßnahmen, indem sie vertrauenswürdige Verbindungen missbrauchte.
Microsoft Threat Intelligence veröffentlichte am Montag und Dienstag die Ergebnisse einer Untersuchung, die von Mitte 2025 bis Mitte 2026 andauerte. Die Sicherheitsforscher betonen: Die Angriffe nutzen keine Sicherheitslücke in der Salesforce-Plattform selbst aus. Stattdessen hebeln die Täter OAuth-Vertrauensbeziehungen und Fehlkonfigurationen aus.
Drei Wege ins System
Microsoft identifizierte drei Methoden, mit denen ShinyHunters in Unternehmensnetzwerke eindrang. Die erste: Vishing – eine Form des telefonischen Social Engineerings. Die Angreifer gaben sich als Support-Mitarbeiter aus und brachten Nutzer dazu, eine gefälschte Version des Salesforce Data Loader zu installieren. Die Software kaperte die Anmeldedaten.
Der zweite Weg führte über kompromittierte Zulieferer. Die Hacker übernahmen OAuth-Token von Dienstleistern und gelangten so in die Salesforce-Umgebungen von deren Kunden. Besonders schwer traf es Salesloft Drift im August 2025 – rund 700 Organisationen waren betroffen. Im November 2025 folgte Gainsight mit mehr als 200 betroffenen Instanzen. Ein dritter Vorfall beim Anbieter Klue ereignete sich im Juni 2026.
Die dritte Methode zielte auf falsch konfigurierte Gastzugriffsrechte. Die Angreifer nutzten Aura- und GraphQL-Schnittstellen aus, um an CRM-Daten zu gelangen – ohne gültige Benutzeranmeldedaten.
MFA ausgehebelt
Durch den Missbrauch der OAuth-Token umging ShinyHunters Multi-Faktor-Authentifizierung. Einmal im Besitz eines Tokens, richtete die Gruppe dauerhaften API-Zugriff ein und stahl kontinuierlich Kundendaten. Besonders betroffen: der Einzelhandel, das Bildungswesen und die verarbeitende Industrie.
Die ShinyHunters-Kampagne zeigt: OAuth-Token-Missbrauch umgeht selbst MFA und öffnet Lieferkettenangriffen Tür und Tor. Dieser Report liefert Ihnen die wichtigsten Abwehrmaßnahmen – von der OAuth-Berechtigungsprüfung bis zur Zero-Trust-Architektur. Jetzt kostenlosen Sicherheits-Report anfordern
Microsoft verfolgt die Aktivitäten unter der Bezeichnung Storm-3138. Die Forscher identifizierten mehrere IP-Adressen, die mit den Angriffen in Verbindung stehen, darunter 138.226.246.94 und 212.86.125.24.
Nissan und Oracle PeopleSoft im Visier
Die Aktivitäten der Gruppe beschränken sich nicht auf Salesforce. Anfang des Sommers meldete Nissan Americas einen schwerwiegenden Datenvorfall zwischen Ende Mai und Anfang Juni 2026. Die Hacker nutzten eine Zero-Day-Lücke in Oracle PeopleSoft aus. ShinyHunters bekannte sich zu dem Angriff und behauptet, mehr als 300 PeopleSoft-Instanzen in 100 Organisationen kompromittiert zu haben – mit dem Ziel, Gehalts-, Steuer- und Bankdaten zu stehlen.
Parallel dazu entdeckten Forscher von Proofpoint eine neue Angriffsmethode namens OAuth-Client-ID-Spoofing. Die Technik zielt auf Microsoft Entra ID ab und erlaubt Angreifern, Passwörter zu überprüfen und Konten aufzulisten – nahezu unsichtbar in den normalen Anmeldeprotokollen. Zwei große Kampagnen mit dieser Methode sind seit Dezember 2025 und Januar 2026 aktiv und betreffen Millionen von Nutzern in Tausenden von Mandanten.
Abwehrmaßnahmen verschärft
Kompromittierte Zulieferer und falsch konfigurierte Gastzugriffe – die Angriffsfläche in Salesforce wächst. Bevor Ihre Kunden betroffen sind, sollten Sie Ihre OAuth-Berechtigungen und API-Zugriffe prüfen. Unser Leitfaden zeigt Ihnen in 5 Schritten, wie Sie API-Missbrauch erkennen und unterbinden. API-Missbrauch erkennen – Leitfaden sichern
Microsoft und Salesforce haben ihre Zusammenarbeit verstärkt. Der Defender for Cloud Apps erhielt eine verbesserte Telemetrie und Risikobewertung speziell für verbundene Salesforce-Anwendungen.
Sicherheitsexperten empfehlen Unternehmen eine Zero-Trust-Architektur, regelmäßige Audits der OAuth-Berechtigungen und den konsequenten Austausch von Tokens. Microsoft rät Administratoren zudem, ungewöhnliche API-Aufrufe zu überwachen und Cloud-Protokollierungstools einzusetzen, um die frühen Phasen von Datendiebstahl zu erkennen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
