🔍 Contexte

Cet article est un post-mortem publié le 18 juin 2026 par l’équipe Huntress sur leur blog officiel. Il détaille une attaque de type supply chain ayant compromis Klue, une plateforme d’intelligence marché, et impacté plusieurs de ses clients dont Huntress.

🗓️ Chronologie de l’incident

  • 11 juin 2026 : Début de la compromission de Klue via un comportement anomal sur un système d’intégration
  • 12 juin : Klue détecte des connexions réseau inhabituelles vers des IPs malveillantes
  • 13 juin : Klue désactive les accès distants, supprime le code de vol de tokens et émet une alerte générale aux clients
  • 16 juin : Des emails d’extorsion avec l’objet “top secret email” arrivent dans les boîtes de certains employés Huntress
  • 17 juin : Huntress confirme la compromission de ses données Salesforce et Gong

⚙️ Vecteur et mécanisme d’attaque

Le threat actor a exploité un credential longtemps inutilisé mais toujours actif, créé à l’origine par Klue pour prototyper une intégration tierce abandonnée. À partir de ce point d’entrée, l’acteur a :

  1. Pivoté dans l’infrastructure Klue
  2. Injecté un code malveillant capable de collecter les tokens OAuth des clients Klue
  3. Utilisé ces tokens pour interroger directement les outils CRM des clients (Salesforce, Gong, etc.)
  4. Exfiltré les données vers une infrastructure externe

Les requêtes malveillantes vers Salesforce ciblaient principalement /services/data/v59.0/query/<STRING> avec un User-Agent 5238 ou vide, ainsi que des strings Python (Python-urllib/3.12, Python-urllib/3.14).

📦 Données compromises (Huntress)

  • Contacts business, devis, données de vente et messagerie commerciale
  • Données Salesforce et Gong
  • Non compromis : threat intelligence, mots de passe, données de paiement, données engineering, agent Huntress, télémétrie

🎭 Threat Actor : Icarus

L’acteur se fait appeler “mr bean” dans ses emails d’extorsion et est associé au groupe Icarus, actif depuis le 28 avril 2026. Éléments d’attribution :

  • Session Messenger ID correspondant entre emails d’extorsion et site de fuite Icarus
  • Site dark web listant deux victimes, dont une entrée “pending” correspondant à des données Salesforce
  • Infrastructure email compromise : domaines australiens house.com.au, robinskitchen.com.au, baccarat.com.au (filiales de Global Retail Brands)
  • Dead-drop via gofile.io pour les samples de données exfiltrées
  • Message sur leur site daté du 12 juin : “get ready; big corps getting listed. be ready”

🌐 Intégrations désactivées par Klue

Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive, Slack App

📌 Type d’article

Post-mortem et rapport d’incident publié par Huntress dans une démarche de transparence radicale, visant à informer la communauté cybersécurité sur la compromission, les IOCs disponibles et les actions d’investigation recommandées.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Icarus (cybercriminal) —

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1078.004 — Valid Accounts: Cloud Accounts (Initial Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1534 — Internal Spearphishing (Lateral Movement)
  • T1657 — Financial Theft (Impact)

IOC

Malware / Outils

  • Session Messenger (tool)

🟢 Indice de vérification factuelle : 83/100 (haute)

  • ✅ huntress.com — source reconnue (liste interne) (20pts)
  • ✅ 15027 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 1/6 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Icarus (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • gofile.io (domain) → ThreatFox (Unknown malware)

🔗 Source originale : https://www.huntress.com/blog/klue-breach-investigation