Het marktintelligentieplatform Klue heeft een OAuth-lek ervaren dat de bedreigingsgroep 'Icarus' in staat stelde om Salesforce CRM-gegevens van meerdere organisaties te stelen in een lopende afpersingscampagne. Diverse organisaties werden getroffen en ontvangen nu afpersingsberichten van deze relatief nieuwe groep, zo meldde BleepingComputer.

Cybersecuritybedrijven ReliaQuest en Huntress bevestigden het beveiligingsincident. Salesforce heeft inmiddels de Klue Battlecards-integratie op haar platform uitgeschakeld tijdens het onderzoek. Volgens Salesforce kunnen organisaties tijdelijk geen verbinding maken met Salesforce via deze app.

ReliaQuest gaf aan dat aanvallers toegang kregen tot service-accounts van de Klue Battlecards-integratie en OAuth-tokens gebruikten die gekoppeld zijn aan klant-Salesforce-instanties om data te stelen. De aanvallers genereerden OAuth-tokens en gebruikten geautomatiseerde Python-scripts om bijna 24 uur lang Salesforce’s REST API te bevragen. De aanval startte met verkenning via het '/services/data/v59.0/sobjects' eindpunt, gevolgd door datalek via '/services/data/v59.0/query'.

In één geval brachten de aanvallers langzaam Salesforce-objecten in kaart om waardevolle data te identificeren, waarna ze in een korte periode bijna duizend queries uitvoerden om de data snel te exfiltreren. Dit patroon wijkt af van eerdere aanvallen van de ShinyHunters-groep, die aanvankelijk werd vermoed, maar BleepingComputer ontdekte dat de nieuwe groep 'Icarus' verantwoordelijk is. Icarus is sinds april 2026 actief en heeft al afpersingsmails gestuurd naar Klue-klanten die getroffen zijn door het lek. De afpersingsberichten werden verstuurd onder het alias 'mr bean' en bevatten een Session Messenger ID voor contact.

De data-leksite van Icarus bevat een bericht met de titel 'Get Ready', waarin wordt gewaarschuwd dat grote bedrijven op de lijst komen te staan. Een van de slachtoffers die op de leksite stond, is inmiddels verwijderd, wat kan duiden op lopende onderhandelingen. Huntress bevestigde dat zij ook slachtoffer zijn en soortgelijke afpersingsmails ontvingen, met een andere Session ID die op de leksite van Icarus staat vermeld.