Klue erklärte in einem eigenen Update, am 12. Juni 2026 unbefugte Aktivitäten entdeckt zu haben, die einen Teil der Integrationsinfrastruktur betroffen hätten. Nach Angaben von Klue-CEO Jason Smith verschafften sich die Angreifer über ein kompromittiertes Altsystem-Zugangsdatenpaar Zugriff, das mit einem Integrationsdienst verknüpft war. Mit diesem Zugang hätten sie OAuth-Tokens erlangt, die Klue zur Verbindung mit Drittplattformen wie Salesforce nutzt, und anschließend auf Daten in mehreren angebundenen Kundenumgebungen zugegriffen.

Klue zufolge blieb der Vorfall auf die betroffenen Drittplattformen beschränkt. Es gebe bislang keine Hinweise darauf, dass in der Klue-Plattform selbst gespeicherte Kundeninhalte betroffen seien. Der Einbruch habe es den Angreifern konkret ermöglicht, ein Code-Update einzuschleusen, das OAuth-Tokens sammelte, mit denen Kunden Klue an ihre eigenen Systeme anbinden. Als Reaktion habe das Unternehmen betroffene Zugangsdaten und Tokens widerrufen, nicht autorisierten Code entfernt, Fernzugriff unterbunden, potenziell betroffene Integrationen deaktiviert und eine umfassende Untersuchung eingeleitet.

Huntress schilderte den Ablauf ausführlicher. Das Unternehmen erklärte, die Angreifer hätten offenbar eine seit Langem nicht mehr genutzte, aber weiterhin aktive Zugangsdatenkombination ausgenutzt. Diese sei ursprünglich von Klue erstellt worden, um für Huntress eine Drittanbieter-Integration zu prototypen, die später wieder verworfen wurde. Von dort aus seien die Angreifer in die Klue-Infrastruktur übergegangen, hätten die von Klue-Kunden genutzten Tokens entwendet und diese gestohlenen Zugangsdaten genutzt, um die CRM-Systeme der Kunden direkt abzufragen und schließlich Daten abzuziehen.

Nach Angaben von Huntress umfassten die kopierten Daten Geschäftskontakte, Preisangebote sowie weitere vertriebsbezogene Daten und Nachrichten. Nicht betroffen gewesen seien Bedrohungsdaten, Passwörter, Zahlungskarteninformationen oder technische Daten zum Huntress-Agenten beziehungsweise zur erfassten Telemetrie. Zudem erhielten einige Huntress-Beschäftigte am 16. Juni 2026 eine E-Mail mit dem Betreff „streng geheime E-Mail“ und der Drohung: „Ihre Salesforce-Daten wurden heruntergeladen … Sie haben 48 Stunden, um mit uns zu kommunizieren. Treffen Sie die richtige Entscheidung.“

Über die Gruppe Icarus ist laut dem Bericht bislang wenig bekannt. Demnach ist sie seit dem 28. April 2026 aktiv und hat bisher zwei Opfer für sich reklamiert. Die Kampagne zum Datendiebstahl weist dem Bericht zufolge Parallelen zu früheren Angriffswellen von ShinyHunters und UNC6395 auf.

ReliaQuest zog in einer eigenen Analyse der missbrauchten Klue-Integration Vergleiche zu Angriffen auf Salesforce-Umgebungen über Drittanbieter-OAuth-Zugänge bei den Kompromittierungen von Salesloft Drift und Gainsight im vergangenen Jahr. Die Forscher Thassanai McCabe und Alexa Feminella schreiben, die Angreifer hätten sich zunächst über ein kompromittiertes Klue-Integrationsdienstkonto authentifiziert, OAuth-Tokens erzeugt und dann automatisierte Python-Skripte eingesetzt, erkennbar an Python-urllib-Benutzeragenten.

Diese Skripte hätten zunächst über „GET /services/data/v59.0/sobjects“ den Objektkatalog der jeweiligen Organisation aufgelistet und anschließend über „/services/data/v59.0/query“ wiederholt REST-API-Abfragen gegen Salesforce ausgeführt. Die Ergebnisse seien über den QueryMore-Cursor über fast 24 Stunden hinweg paginiert worden. ReliaQuest bewertet dies als Massenabruf von Daten, der darauf ausgelegt war, große Mengen von CRM-Datensätzen über die Salesforce-REST-API abzuziehen. In mindestens einer Umgebung habe es dabei einen konzentrierten Schub von fast tausend Abfragen in 15 Minuten gegeben; in einem anderen Fall dauerte das Extraktionsfenster mehr als sechs Stunden.

Wie viele Salesforce-Kunden von den aktuellen Angriffen betroffen sind, ist bislang unklar. Klue teilte lediglich mit, direkt mit betroffenen Kunden zu kommunizieren, Untersuchungsergebnisse zu teilen und sie bei ihren Reaktionsmaßnahmen zu unterstützen.