Klue Battlecards: Hackergruppe Icarus stiehlt OAuth-Tokens aus Salesforce
19.06.2026 - 15:46:48 | boerse-global.de
Eine Sicherheitslücke in der Drittanbieter-App Klue Battlecards hat sensible Kundendaten aus Salesforce-Umgebungen mehrerer Großunternehmen kompromittiert. Der Vorfall zeigt erneut die Verwundbarkeit von Software-Schnittstellen.
Cybersicherheitsfirmen ReliaQuest und Huntress bestätigten den Angriff, der bereits am 11. Juni 2026 begann. Die Täter nutzten ein altes, aber noch aktives Testkonto der Klue-Integration als Einfallstor. Von dort aus generierten oder stahlen sie OAuth-Tokens, die ihnen vollen Zugriff auf die Salesforce-CRM-Systeme verschafften – ohne dass dafür Passwörter nötig gewesen wären.
Betroffen sind nach ersten Erkenntnissen mindestens vier Unternehmenskunden. Darunter auch Huntress selbst, das die eigene CRM-Datenbank kompromittiert sah.
Anzeige: Der Angriff auf Klue Battlecards zeigt: Jede Drittanbieter-Integration ist ein Einfallstor. Schützen Sie Ihre Salesforce-Daten jetzt mit der Sofort-Checkliste – inklusive API-Log-Analyse und IP-Whitelisting. Sicherheits-Report jetzt anfordern
Gestohlene Daten und betroffene Plattformen
Die Angreifer erbeuteten Geschäftskontakte, Vertriebskommunikation und Preisangebote. Passwörter und Zahlungsinformationen blieben nach Angaben der Ermittler unberührt. Die Sicherheitslücke lag nicht in Salesforce selbst, sondern in der Lieferkette der Drittanbieter-Integration.
Salesforce deaktivierte daraufhin die Klue-Schnittstelle. Klue selbst zog Konsequenzen und schaltete seine Integrationen zu zahlreichen Plattformen ab – darunter HubSpot, SharePoint, Zoom, Google Drive, Slack sowie die Vertriebstools Gong, Chorus und Clari.
Zweistufiger Angriff mit präziser Taktik
Die technische Analyse von ReliaQuest enthüllt ein ausgeklügeltes Vorgehen: Zunächst durchsuchten automatisierte Python-Skripte über rund 24 Stunden hinweg langsam die Salesforce-REST-API. In einer zweiten Phase folgte ein massiver Datenabfluss – etwa 1.000 API-Anfragen innerhalb von nur 15 Minuten.
Die Ermittler veröffentlichten mehrere IP-Adressen als Indikatoren für eine Kompromittierung (Indicators of Compromise, IOCs):
- 138.226.246.94
- 212.86.125.24
- 213.111.148.90
- 94.154.32.160
Erpressung und Tätergruppe
Hinter der Kampagne steckt die Gruppe Icarus, die seit April 2026 aktiv ist. Die Täter, die auch unter dem Pseudonym „mr bean" auftreten, verschickten Erpressungsmails an die betroffenen Organisationen. Sie forderten Zahlung innerhalb von 48 Stunden – andernfalls drohten sie mit der Veröffentlichung der gestohlenen Daten.
Die Analysten sehen Parallelen zu anderen Gruppen wie ShinyHunters (auch als UNC6395 bekannt). Der Vorfall reiht sich ein in eine Serie von Angriffen auf SaaS-Integrationen – ähnliche Vorfälle gab es bereits bei Salesloft, Drift und Gainsight.
Schutzmaßnahmen für betroffene Unternehmen
Anzeige: Hackergruppe Icarus erpresst Unternehmen mit gestohlenen OAuth-Tokens. Wer seine Integrationen nicht sofort prüft, riskiert den Datenabfluss. Dieser Report zeigt, wie Sie Tokens widerrufen, Logs analysieren und sich absichern. Jetzt Schutzmaßnahmen sichern
Experten empfehlen Unternehmen, die Klue-Integration nutzen, dringend:
- Vorhandene OAuth-Tokens sofort widerrufen
- Zugangsdaten für Servicekonten austauschen
- API-Logs auf verdächtige Aktivitäten oder unbekannte IP-Adressen prüfen
- IP-Whitelisting für alle kritischen SaaS-Integrationen einführen
Nur so lasse sich das Risiko eines erneuten Token-Missbrauchs durch unbefugte Standorte minimieren, warnen die Sicherheitsexperten.
