Doppia estorsione Klue: il gruppo Icarus cancella i dati, ma un secondo gruppo chiede il riscatto

Il 12 giugno 2026, Klue, piattaforma di market intelligence, ha rilevato attività non autorizzata nella sua infrastruttura di integrazione. La violazione è stata compiuta dal gruppo di estorsione Icarus, una nuova entità con solo due vittime precedenti sul suo sito di leak . Gli aggressori hanno sfruttato una credenziale legacy compromessa legata a un account di servizio di integrazione per ottenere l'accesso, quindi hanno rubato i token OAuth che i clienti utilizzavano per collegare Klue a piattaforme di terze parti, principalmente Salesforce . Con questi token, Icarus ha interrogato ed esfiltrato in blocco i dati CRM di Salesforce—inclusi contatti commerciali, opportunità e dati di conversazioni di vendita—da diversi ambienti clienti .

La svolta insolita: Icarus cancella i dati mentre un secondo gruppo si inserisce

Icarus cancella i dati rubati. In un aggiornamento ai clienti del 25 giugno, visionato da TechCrunch, Klue ha dichiarato: "Icarus ci ha detto che sta adottando misure per cancellare i dati prelevati dai clienti Klue. Il sito di Icarus rimane inattivo e abbiamo indicazioni che Icarus stia effettivamente adottando misure per cancellare i dati presi dai clienti Klue" .

Emergere di un secondo gruppo senza nome. Nonostante Icarus sembri aver distrutto i dati, un secondo gruppo di hacker, senza nome, ha ottenuto almeno porzioni delle informazioni rubate e sta estorcendo direttamente i clienti di Klue . Secondo l'aggiornamento di Klue di giovedì, "Icarus ci ha detto che l'altra parte ha solo campioni di dati e sta cercando opportunisticamente e fraudolentemente un pagamento diretto da alcuni nostri clienti" . Questo secondo gruppo ha pubblicato un elenco di aziende presumibilmente colpite sul proprio sito di estorsione .

195 organizzazioni colpite

Numerosi rapporti confermano che circa 195 organizzazioni hanno subito il furto di dati. The Register ha parlato di "centinaia" di vittime , mentre altre fonti specificano che 195 aziende hanno ricevuto richieste di estorsione dirette. Tra le vittime confermate ci sono Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity e altre . LastPass non è stata inclusa in nessun elenco di divulgazione citato, contrariamente ad alcune prime affermazioni non verificate.

Come ha funzionato l'attacco

• Ingresso: Gli aggressori hanno utilizzato una credenziale API compromessa e a lungo inattiva, associata a un'integrazione di servizio abbandonata, per accedere al backend di Klue .
• Furto di token: È stato inserito un codice dannoso per rubare i token OAuth che i clienti avevano concesso a Klue per connettersi a Salesforce e ad altre piattaforme (inclusa Gong) .
• Esfiltrazione dati: Con quei token, gli aggressori hanno effettuato query automatizzate contro le organizzazioni Salesforce connesse, estraendo in blocco dati CRM come contatti commerciali, informazioni sui prezzi e note sulle opportunità .
• Compromissione della supply chain SaaS: L'incidente è descritto come un attacco alla supply chain attraverso integrazioni di terze parti. Klue ha dichiarato che non ci sono prove che i contenuti dei clienti archiviati all'interno della stessa piattaforma Klue siano stati compromessi .

Guida ufficiale: Klue consiglia ai clienti di non pagare

Supporto di CrowdStrike. Klue ha confermato pubblicamente di aver "ingaggiato CrowdStrike" per supportare le indagini e convalidare le misure di risposta . L'azienda ha adottato misure immediate: revoca delle credenziali e dei token compromessi, rimozione del codice non autorizzato, disattivazione delle integrazioni interessate e notifica alle forze dell'ordine .

Consigli sul secondo gruppo di estorsione. Nell'aggiornamento del 25 giugno, Klue ha consigliato ai clienti di non pagare il secondo gruppo senza nome. Invece, Klue ha raccomandato ai clienti colpiti di richiedere campioni di prova dei dati prima di interagire con qualsiasi richiesta di estorsione—e di inoltrare qualsiasi comunicazione di questo tipo direttamente a Klue o alle forze dell'ordine per la verifica . L'azienda ha sottolineato che il secondo gruppo sembra possedere solo "campioni" di dati e sta agendo in modo opportunistico e fraudolento .

Correzione in corso. Klue sta conducendo una revisione completa dei controlli di sicurezza, della gestione delle credenziali, del monitoraggio e dei processi di distribuzione per implementare ulteriori salvaguardie .