🗓️ Contexte

Source : CybersecurityNews — publié le 22 juin 2026. Cet article rapporte une attaque de type supply chain ciblant la plateforme de market intelligence Klue, ayant conduit à l’exfiltration de données CRM Salesforce chez au moins neuf organisations clientes.

🔓 Vecteur d’accès initial

L’attaque a débuté les 11 et 12 juin 2026 via l’utilisation d’un credential legacy compromis associé à un compte de service d’intégration. Les attaquants ont ensuite poussé une mise à jour de code malveillante afin de collecter des tokens OAuth, permettant l’accès aux plateformes tierces connectées à Klue.

📤 Exfiltration des données

Une fois les tokens OAuth récupérés, les attaquants ont abusé de la Salesforce REST API pour exfiltrer massivement des données CRM :

  • Environ 1 000 requêtes API en 15 minutes au pic d’activité
  • Des fenêtres d’extraction soutenues de plus de 6 heures
  • Données volées : noms, emails, titres, numéros de téléphone, adresses professionnelles, données de comptes commerciaux, devis tarifaires, communications commerciales

Aucune donnée de plateforme cœur, télémétrie, threat intelligence, mots de passe ou données de paiement n’a été compromise.

🏢 Organisations impactées

  • HackerOne — données Salesforce accessibles via l’intégration Klue
  • Huntress — contacts, devis, données commerciales ; attribution à Icarus avec haute confiance
  • Jamf — données CRM Salesforce ; aucun impact produit
  • OneTrust — exposition de données Salesforce
  • Recorded Future — noms, emails, informations contractuelles potentielles
  • Snyk, Sprout Social, Insurity, Tanium — données Salesforce confirmées compromises
  • Gong — données utilisateurs internes (noms, titres, emails) ; aucun enregistrement d’appel affecté

🎭 Attribution

Le groupe Icarus a revendiqué l’attaque sur sa plateforme de fuite, émis une demande de rançon menaçant de publier les données volées. Huntress a corrélé des indicateurs de son environnement compromis avec l’infrastructure d’Icarus. Une note de rançon aurait été envoyée depuis une adresse email liée à une entreprise australienne potentiellement compromise.

🛠️ Réponse à l’incident

Klue a identifié l’activité non autorisée le 12 juin et a immédiatement révoqué les credentials affectés, désactivant les intégrations avec Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive et Slack. CrowdStrike a été mandaté pour la réponse à incident et l’investigation forensique. Les autorités ont été notifiées. Le CEO Jason Smith a reconnu publiquement l’incident le 22 juin.

📰 Nature de l’article

Article de presse spécialisée relatant un incident de sécurité confirmé, avec éléments d’attribution, liste des victimes et détails techniques sur le vecteur d’attaque et l’exfiltration.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Icarus (cybercriminal) —

TTP

  • T1078.004 — Valid Accounts: Cloud Accounts (Initial Access)
  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1528 — Steal Application Access Token (Credential Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1486 — Data Encrypted for Impact (Impact)

🟡 Indice de vérification factuelle : 35/100 (moyenne)

  • ⬜ cybersecuritynews.com — source non référencée (0pts)
  • ✅ 5808 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Icarus (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://cybersecuritynews.com/klue-hack-cybersecurity-companies/

🖴 Archive : https://web.archive.org/web/20260625072021/https://cybersecuritynews.com/klue-hack-cybersecurity-companies/