Der Angriff begann am 11. Juni und betraf Systeme im Zusammenhang mit Software-Plattformintegrationen. Nach der Darstellung im Quelltext verbanden sich die Angreifer mit den Backend-Servern von Klue, führten dort unautorisierte Befehle aus und spielten ein Code-Update ein, um OAuth-Token von Klue-Integrationen bei Kunden abzugreifen.

Klue benachrichtigte seine Kunden am 12. Juni über den Vorfall. Das Unternehmen warnte dabei, dass es OAuth-Token für alle Kunden deaktiviert und Integrationen mit Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive und Slack abgeschaltet habe. Eine öffentliche Erklärung von Klue zu dem Vorfall lag laut Quelltext zunächst nicht vor.

ReliaQuest zufolge missbrauchten die Angreifer die Salesforce-REST-API, um über ein Zeitfenster von 24 Stunden große Mengen an CRM-Daten zu exfiltrieren. Dazu habe es „einen konzentrierten Ausbruch von fast tausend Abfragen innerhalb von 15 Minuten und anhaltende Extraktionsphasen von mehr als sechs Stunden“ gegeben. Am 17. Juni deaktivierte Salesforce die Integration der Klue-Battlecards-App und erklärte, man habe „ungewöhnliche Aktivitäten im Zusammenhang mit der App festgestellt, die möglicherweise über die Verbindung der App zu Salesforce zu einem unbefugten Zugriff auf einen Teil der Kundendaten geführt haben“.

Am Donnerstag bestätigten Huntress und Recorded Future, zu den betroffenen Unternehmen zu gehören. Huntress erklärte, aus seinem Salesforce-Konto seien Geschäftskontakte, Preisangebote sowie weitere vertriebsbezogene Daten und Nachrichten kopiert worden. Nicht betroffen gewesen seien Bedrohungsdaten, Passwörter, Zahlungskarteninformationen oder technische Daten zum Huntress-Agenten beziehungsweise zur erfassten Telemetrie.

Recorded Future teilte mit, nach laufender Untersuchung gehe man davon aus, dass die Auswirkungen auf Geschäftsdatenfelder in der Salesforce-Datenbank begrenzt gewesen seien, etwa auf Namen und E-Mail-Adressen von Kundenkontakten. Möglicherweise seien auch bestimmte Informationen aus Geschäftsverträgen in den betroffenen Daten enthalten gewesen.

Beide Unternehmen betonen, dass der Vorfall auf die Klue-Salesforce-Integration begrenzt war. Die Angreifer hätten weder Systeme von Huntress noch von Recorded Future direkt kompromittiert oder auf von diesen Firmen betriebene Systeme zugegriffen. Huntress wies zudem darauf hin, dass mehrere andere Sicherheitsunternehmen Klue einsetzen, bislang aber offenbar kein weiteres Unternehmen die Auswirkungen des Angriffs öffentlich gemacht habe.

Der Angriff folgt laut Quelltext demselben Muster wie frühere Vorfälle rund um Salesforce, Salesloft Drift und Gainsight, die ShinyHunters und UNC6395 zugeschrieben wurden. In diesem Fall deute jedoch vieles auf einen neuen Bedrohungsakteur hin. Huntress meldete einen versuchten Erpressungskontakt durch einen Akteur mit dem Namen „Mr Brean“, der auf eine Session-Messenger-ID verwiesen habe, die mit Icarus verknüpft sei, einer Erpressergruppe, die im April 2026 aufgetaucht sei.

Auf der Leak-Seite von Icarus fand sich laut Huntress ein Eintrag von Anfang Mai, bei dem die angeblich gestohlenen Daten des Opfers bereits veröffentlicht worden seien, wenn auch inzwischen nicht mehr verfügbar. Ein weiterer Eintrag vom 16. Juni verweise auf aus Salesforce gestohlene Daten. „Mit diesen übereinstimmenden Datenpunkten sind wir mit hoher Sicherheit davon überzeugt, dass der Icarus-Akteur für die Kompromittierung von Klue und diesen Lieferkettenangriff verantwortlich ist“, erklärte Huntress.