Trinity of Chaos黑客團伙利用Salesforce漏洞攻擊39家企業 暗網上線數據泄露站

與Lapsus$、Scattered Spider、ShinyHunters團伙有關的“Trinity of Chaos”勒索軟件組織，通過Salesforce漏洞攻擊了39家企業，并在TOR網絡上搭建了數據泄露站（DLS）。

該組織疑似與上述三大團伙存在關聯，其搭建的泄露站包含39家受影響企業的信息，涵蓋墨西哥航空、法國航空、谷歌、思科、斯特蘭蒂斯集團、澳洲航空等——這些企業均因針對Salesforce漏洞實例及其他漏洞的惡意網絡攻擊而受損。正如Resecurity威脅情報報告中所述的那樣，該團伙計劃持續開展攻擊，且已轉向傳統勒索軟件的運作模式。

泄露站信息與攻擊事件

數據泄露站列出的受害者包含近期遭襲企業，其中汽車巨頭斯特蘭蒂斯集團于2025年9月21日披露，一場數據泄露影響了其北美用戶。而在此之前，英國豪華汽車制造商捷豹路虎也遭該團伙攻擊，導致零售與生產業務嚴重中斷。

值得注意的是，多數泄露數據樣本雖無密碼，卻包含大量個人身份信息。這一特征或證實，被盜數據大概率源自受影響的Salesforce實例：攻擊者通過語音釣魚攻擊，以及竊取用于Salesloft的Drift AI聊天集成功能的OAuth令牌，獲取了這些數據。

目前，此事已促使美國聯邦調查局發布緊急預警，明確企業應監控的技術指標，以判斷自身Salesforce環境是否遭入侵。

團伙活動現狀：未“收手”且影響或超預期

Resecurity此前報告揭露，由臭名昭著的Lapsus$、ShinyHunters、Scattered Spider組成的聯盟，正發起一場迅速蔓延、規模或遠超預期的全球網絡犯罪活動。盡管該聯盟近期傳出“收手”說法，但Trinity of Chaos仍在針對頭部企業實施協同黑客攻擊與勒索，且有多起重大數據泄露尚未公開。

報告指出，秘密勒索事件正激增——意味著該團伙的實際影響范圍，可能遠大于目前已曝光的規模。該團伙聲稱，若受害者10月10日后仍未付款，將更新數據泄露站；據其透露，新版泄露站將包含超15億條記錄。

潛在風險與行業影響

Resecurity分析師提醒，目前僅是新受害者與新事件浮出水面的階段。由于秘密勒索持續，且團伙利用“惡名”脅迫企業沉默，財富100強企業、金融服務、科技、航空、零售及汽車行業的數據泄露全貌，才剛剛開始顯現。

網絡安全專家表示，犯罪分子可能大規模濫用被盜數據，包括用于有害人工智能應用。掌握受害者及所屬行業背景后，威脅者可通過數據挖掘提取關鍵信息，并將受害者數據集與其他信息關聯，進而策劃復雜社會工程學騙局、定向釣魚攻擊與身份盜竊——大型企業與政府部門或成主要目標。

參考及來源：https://securityaffairs.com/182918/cyber-crime/shinyhunters-launches-data-leak-site-trinity-of-chaos-announces-new-ransomware-victims.html