与 Lapsus$、Scattered Spider、ShinyHunters 团伙有关联的 "Trinity of Chaos" 勒索软件组织，通过 Salesforce 漏洞攻击了 39 家企业，并在 TOR 网络上搭建了数据泄露站（DLS）。

该组织疑似与上述三大团伙存在关联，其搭建的泄露站包含 39 家受影响企业的信息，涵盖墨西哥航空、法国航空、谷歌、思科、斯特兰蒂斯集团、澳洲航空等——这些企业均因针对 Salesforce 漏洞实例及其他漏洞的恶意网络攻击而受损。正如 Resecurity 威胁情报报告中所述的那样，该团伙计划持续开展攻击，且已转向传统勒索软件的运作模式。

泄露站信息与攻击事件

数据泄露站列出的受害者包含近期遭袭企业，其中汽车巨头斯特兰蒂斯集团于 2025 年 9 月 21 日披露，一场数据泄露影响了其北美用户。而在此之前，英国豪华汽车制造商捷豹路虎也遭该团伙攻击，导致零售与生产业务严重中断。

值得注意的是，多数泄露数据样本虽无密码，却包含大量个人身份信息。这一特征或证实，被盗数据大概率源自受影响的 Salesforce 实例：攻击者通过语音钓鱼攻击，以及窃取用于 Salesloft 的 Drift AI 聊天集成功能的 OAuth 令牌，获取了这些数据。

目前，此事已促使美国联邦调查局发布紧急预警，明确企业应监控的技术指标，以判断自身 Salesforce 环境是否遭入侵。

团伙活动现状：未 " 收手 " 且影响或超预期

Resecurity 此前报告揭露，由臭名昭著的 Lapsus$、ShinyHunters、Scattered Spider 组成的联盟，正发起一场迅速蔓延、规模或远超预期的全球网络犯罪活动。尽管该联盟近期传出 " 收手 " 说法，但 Trinity of Chaos 仍在针对头部企业实施协同黑客攻击与勒索，且有多起重大数据泄露尚未公开。 

报告指出，秘密勒索事件正激增——意味着该团伙的实际影响范围，可能远大于目前已曝光的规模。该团伙声称，若受害者 10 月 10 日后仍未付款，将更新数据泄露站；据其透露，新版泄露站将包含超 15 亿条记录。

潜在风险与行业影响

Resecurity 分析师提醒，目前仅是新受害者与新事件浮出水面的阶段。由于秘密勒索持续，且团伙利用 " 恶名 " 胁迫企业沉默，财富 100 强企业、金融服务、科技、航空、零售及汽车行业的数据泄露全貌，才刚刚开始显现。

网络安全专家表示，犯罪分子可能大规模滥用被盗数据，包括用于有害人工智能应用。掌握受害者及所属行业背景后，威胁者可通过数据挖掘提取关键信息，并将受害者数据集与其他信息关联，进而策划复杂社会工程学骗局、定向钓鱼攻击与身份盗窃——大型企业与政府部门或成主要目标。