Trinity of Chaos黑客团伙利用Salesforce漏洞攻击39家企业 暗网上线数据泄露站

与Lapsus$、Scattered Spider、ShinyHunters团伙有关联的“Trinity of Chaos”勒索软件组织，通过Salesforce漏洞攻击了39家企业，并在TOR网络上搭建了数据泄露站（DLS）。

该组织疑似与上述三大团伙存在关联，其搭建的泄露站包含39家受影响企业的信息，涵盖墨西哥航空、法国航空、谷歌、思科、斯特兰蒂斯集团、澳洲航空等——这些企业均因针对Salesforce漏洞实例及其他漏洞的恶意网络攻击而受损。正如Resecurity威胁情报报告中所述的那样，该团伙计划持续开展攻击，且已转向传统勒索软件的运作模式。

泄露站信息与攻击事件

数据泄露站列出的受害者包含近期遭袭企业，其中汽车巨头斯特兰蒂斯集团于2025年9月21日披露，一场数据泄露影响了其北美用户。而在此之前，英国豪华汽车制造商捷豹路虎也遭该团伙攻击，导致零售与生产业务严重中断。

值得注意的是，多数泄露数据样本虽无密码，却包含大量个人身份信息。这一特征或证实，被盗数据大概率源自受影响的Salesforce实例：攻击者通过语音钓鱼攻击，以及窃取用于Salesloft的Drift AI聊天集成功能的OAuth令牌，获取了这些数据。

目前，此事已促使美国联邦调查局发布紧急预警，明确企业应监控的技术指标，以判断自身Salesforce环境是否遭入侵。

团伙活动现状：未“收手”且影响或超预期

Resecurity此前报告揭露，由臭名昭著的Lapsus$、ShinyHunters、Scattered Spider组成的联盟，正发起一场迅速蔓延、规模或远超预期的全球网络犯罪活动。尽管该联盟近期传出“收手”说法，但Trinity of Chaos仍在针对头部企业实施协同黑客攻击与勒索，且有多起重大数据泄露尚未公开。 

报告指出，秘密勒索事件正激增——意味着该团伙的实际影响范围，可能远大于目前已曝光的规模。该团伙声称，若受害者10月10日后仍未付款，将更新数据泄露站；据其透露，新版泄露站将包含超15亿条记录。

潜在风险与行业影响

Resecurity分析师提醒，目前仅是新受害者与新事件浮出水面的阶段。由于秘密勒索持续，且团伙利用“恶名”胁迫企业沉默，财富100强企业、金融服务、科技、航空、零售及汽车行业的数据泄露全貌，才刚刚开始显现。

网络安全专家表示，犯罪分子可能大规模滥用被盗数据，包括用于有害人工智能应用。掌握受害者及所属行业背景后，威胁者可通过数据挖掘提取关键信息，并将受害者数据集与其他信息关联，进而策划复杂社会工程学骗局、定向钓鱼攻击与身份盗窃——大型企业与政府部门或成主要目标。