Empresas de cibersegurança Huntress e Recorded Future divulgaram o impacto de um ataque à cadeia de suprimentos que atingiu a plataforma de inteligência de mercado Klue.
O ataque começou em 11 de junho e afetou sistemas associados a integrações de plataformas de software. Os hackers se conectaram aos servidores de back-end da Klue e executaram comandos não autorizados, enviando uma atualização de código para coletar tokens OAuth (credenciais de autorização de acesso) das integrações dos clientes com a Klue.
A Klue notificou os clientes sobre o incidente em 12 de junho, alertando que havia desativado os tokens OAuth de todos os clientes e desabilitado as integrações com Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive e Slack.
Segundo a ReliaQuest, os hackers abusaram da REST API (Interface de Programação de Aplicações) do Salesforce para exfiltrar grandes volumes de dados de CRM (Gestão de Relacionamento com o Cliente) ao longo de uma janela de 24 horas, "incluindo um pico concentrado de quase mil consultas em 15 minutos e janelas de extração sustentadas com duração superior a 6 horas".
Em 17 de junho, o Salesforce desabilitou a integração do aplicativo Klue Battlecards, alertando que "detectou atividade incomum envolvendo o aplicativo que pode ter resultado em acesso não autorizado a um subconjunto de dados de clientes por meio da conexão do aplicativo com o Salesforce".
Na quinta-feira, tanto a Huntress quanto a Recorded Future confirmaram que estavam entre as empresas afetadas pelo ataque à cadeia de suprimentos.
"Os dados que foram copiados da nossa conta do Salesforce incluem contatos comerciais, cotações de preços e outros dados e mensagens relacionados a vendas. Nenhum dado de ameaça, senha, informação de cartão de pagamento ou dado de engenharia relacionado ao agente Huntress ou à telemetria que coletamos foi afetado", disse a Huntress.
A Recorded Future observou: "Embora nossa investigação esteja em andamento, acreditamos que o impacto foi limitado a campos de dados comerciais armazenados em nosso banco de dados do Salesforce, como nomes de contatos de clientes e endereços de e-mail. Certas informações de contratos comerciais também podem ter sido potencialmente incluídas nos dados afetados".
O incidente se limitou à integração Klue-Salesforce, e os invasores não acessaram nenhum sistema pertencente ou mantido pelas duas empresas de cibersegurança.
A Huntress observou que várias outras empresas de cibersegurança usam a Klue, mas nenhuma outra empresa parece ter divulgado publicamente o impacto do ataque.
O ataque segue o mesmo padrão observado em incidentes anteriores no Salesforce, Salesloft Drift e Gainsight, que foram atribuídos ao ShinyHunters e ao UNC6395, mas parece ter sido conduzido por um novo agente de ameaça.
A Huntress disse que recebeu uma comunicação de tentativa de extorsão de um agente de ameaça que se autodenomina "Mr Brean", que apontou para um identificador do Session Messenger associado ao Icarus, um grupo de extorsão que surgiu em abril de 2026.
O site de vazamentos do Icarus tem uma entrada do início de maio, com os dados supostamente roubados da vítima já publicados (embora não estejam mais disponíveis), e outra de 16 de junho, que aponta para dados roubados do Salesforce.
"Com esses pontos de dados correspondentes, temos alta confiança de que o agente Icarus é responsável pelo comprometimento da Klue e por esse ataque à cadeia de suprimentos", afirma a Huntress.
Embora tenha compartilhado os detalhes do ataque com seus clientes, a Klue não fez um anúncio público sobre o assunto. A SecurityWeek enviou um e-mail à empresa solicitando um pronunciamento e atualizará este artigo se houver resposta.
