Il 18 giugno 2026 la piattaforma di market intelligence Klue conferma una compromissione multi-vittima esplosa tra l'11 e il 16 giugno: il gruppo estorsivo 'Icarus' ha sottratto token OAuth dei clienti tramite una credenziale dormiente creata per un prototipo abbandonato, esfiltrando dati CRM da Salesforce con script Python automatizzati. La rivelazione arriva mentre Huntress, vendor cybersecurity, rende pubblica la propria condizione di vittima, rompendo il silenzio che inizialmente ha avvolto altri soggetti coinvolti.
- 'Icarus', gruppo estorsivo attivo da aprile 2026, ha compromesso Klue usando una credenziale dormiente per un prototipo di integrazione terza parte mai dismessa.
- Gli attaccanti hanno pushato un code update malevolo per raccogliere token OAuth dei clienti, poi interrogato le API Salesforce REST con script Python per circa 24 ore.
- ReliaQuest ha rilevato pattern bifase: ricognizione lenta via
/services/data/v59.0/sobjects, poi burst di ~1000 query in 15 minuti via/services/data/v59.0/query. - Salesforce ha disabilitato l'integrazione Klue Battlecards il 17 giugno; Klue ha spento preventivamente nove connessioni terze parti incluse HubSpot, Slack, Gong, Zoom.
Il meccanismo: dalla credenziale dormiente al furto di token
Huntress, nella propria analisi pubblicata il 18 giugno, ricostruisce l'ingresso iniziale: «il threat actor sembra aver sfruttato una credenziale a lungo inutilizzata ma ancora attiva», originariamente creata da Klue per prototipare un'integrazione terza parte poi abbandonata. La credenziale non è stata revocata né monitorata, lasciando un'apertura persistente nel backend della piattaforma.
Da questo punto di accesso, gli attaccanti hanno effettuato un push di codice malevolo con funzionalità di raccolta token OAuth. Klue ha successivamente rimosso il «token-theft code», secondo la stessa fonte, ma il danno era compiuto: i token rubati delegavano l'accesso ai tenant Salesforce dei clienti che avevano attivato l'integrazione.
Il dato è rilevante perché illustra un pattern sistemico del cloud enterprise. Le integrazioni SaaS di terze parti funzionano su trust relationship implicite: l'utente concede una volta i permessi OAuth, e la piattaforma intermediaria opera con privilegi ampi e persistenti. Quando l'intermediario viene compromesso, l'attacco si propaga a catena senza necessità di credenziali primarie della vittima finale.
Le API Salesforce come arma di esfiltrazione
ReliaQuest, citata da BleepingComputer, ha analizzato nel dettaglio l'attività post-compromissione. Gli attaccanti hanno usato script Python automatizzati per interrogare le API REST Salesforce per circa 24 ore, con un pattern in due fasi distinte.
Nella prima fase, ricognizione lenta e stealth: chiamate a /services/data/v59.0/sobjects per mappare la struttura dati e identificare oggetti di interesse. Nella seconda, esfiltrazione via /services/data/v59.0/query. ReliaQuest rileva un contrasto marcato tra i ritmi: in un ambiente, ~1000 query in 15 minuti dopo una fase di mappatura lenta; in un altro, esfiltrazione completata in 6 ore. Come osserva ReliaQuest, «la prima fase era un pull lento e costante progettato per mimetizzarsi, il burst ha scambiato la stealth con la velocità, suggerendo pressione temporale o un passaggio a record mirati».
Le email di estorsione, ricevute da Huntress il 16 giugno con oggetto «top secret email» e ultimatum di 48 ore, riportavano l'alias «mr bean» e un ID Session Messenger. Huntress ha verificato che questo ID corrisponde ai valori pubblicati sul leak site del gruppo 'Icarus', confermando l'attribuzione. BleepingComputer, con accesso a fonti interne e alle note di estorsione, identifica 'Icarus' come attore nuovo, attivo da aprile 2026, con almeno due vittime iniziali sul proprio sito di leak.
La risposta: Salesforce disabilita, Klue stacca nove integrazioni
La reazione è stata rapida ma asimmetrica. Salesforce ha disabilitato la connessione tra l'app Klue Battlecards e i propri sistemi il 17 giugno 2026. Il portavoce dell'azienda, citato da BleepingComputer, ha dichiarato: «To protect our customers, Salesforce has disabled the connection between the Klue Battlecards app, installed by individual customers, and Salesforce as part of our response to a recent security incident».
Klue ha operato una disconnessione molto più ampia, precauzionale: oltre a Salesforce, ha staccato HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive, Slack. Il provvedimento suggerisce che la piattaforma non sia stata in grado, nel momento critico, di discriminare con certezza quali integrazioni fossero effettivamente interessate dal token-theft e quali no.
I quattro indirizzi IP associati all'attività malevola provengono da provider in Olanda, Francia e Ucraina. Uno di questi, 138.226.246[.]94, risulta già collegato a campagne spam di marzo 2026, secondo i dati pubblicati da Huntress.
"Where the first stage was a slow, steady pull designed to blend in, this burst traded stealth for speed, suggesting either time pressure or a shift to targeted records" — ReliaQuest (via BleepingComputer)
Cosa fare adesso
- Verificare lo stato delle integrazioni OAuth attive con Klue: Salesforce ha già disabilitato la connessione Battlecards, ma amministratori tenant devono controllare token residui e log di autorizzazione.
- Revisionare le credenziali di servizio legacy in ambienti backend: la root cause è una credenziale prototipo non revocata, pattern replicabile in qualsiasi piattaforma con integrazioni terze parti.
- Analizzare i log API Salesforce per chiamate a
/services/data/v59.0/sobjectse/services/data/v59.0/querycon pattern temporali anomali, in particolare burst di centinaia di query in finestre brevi. - Valutare la disconnessione o la riduzione di scope delle integrazioni SaaS non business-critical, dato che Klue ha staccato nove piattaforme senza confermare compromissione effettiva di tutte.
La lezione: quando il supply chain è una credenziale dimenticata
Il caso Klue/Icarus non è una zero-day né un flaw di Salesforce. È un attacco di supply chain SaaS dove il vector è la mancata governance di una credenziale interna, e il payload è la trust relationship OAuth delegata ai clienti. La scelta di Huntress di rendere pubblica la propria compromissione, dettagliando dati esfiltrati (contatti, preventivi, comunicazioni commerciali) e escludendo categoricamente il furto di password, payment card o sistemi engineering, costituisce un raro esempio di trasparenza radicale in un settore dove le vittime aziendali tendono al silenzio.
Il contrasto è con Klue e con altri clienti potenzialmente coinvolti, su cui non emergono dichiarazioni dirette. Il gruppo 'Icarus' opera in un formato estorsione dati-only: nessuna cifratura ransomware, solo leverage sulla minaccia di esposizione pubblica e sulle implicazioni regolatorie. Per le aziende B2B con dati CRM sensibili, questa forma di pressione può rivelarsi più efficace del ransomware tradizionale, proprio perché non richiede ripristino infrastrutturale ma negoziazione reputazionale e legale.
Fonti
- https://www.bleepingcomputer.com/news/security/klue-oauth-breach-linked-to-icarus-salesforce-data-theft-attacks/
- https://www.huntress.com/blog/klue-breach-investigation
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/shinyhunters-exploits-oracle-peoplesoft.html
- https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/
- https://unit42.paloaltonetworks.com/cyber-extortion-economy/
- https://pcper.com/2026/06/fortibleed-is-a-bad-one-for-you-and-a-lot-of-the-companies-you-depend-on/
- https://thehackernews.com/
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
- https://thehackernews.com/search/label/Threat%20Intelligence
- https://thehackernews.com/search/label/Vulnerability
- https://thehackernews.com/search/label/Cyber%20Attack