El equipo de extorsión de ShinyHunters aprovechó una falla no parcheada en Oracle PeopleSoft para ingresar a los sistemas empresariales, robar datos y exigir pagos para mantenerlos privados. La campaña afectó más a las universidades.
Mandiant de Google lo atribuye al grupo que rastrea como UNC6240 y fecha la actividad entre el 27 de mayo y el 9 de junio. Oracle no publicó su aviso hasta el 10 de junio, por lo que el error fue de día cero todo el tiempo.
La falla, CVE-2026-35273, es un error de ejecución remota de código en PeopleSoft Enterprise PeopleTools con una calificación de 9,8 sobre 10. No necesita inicio de sesión ni interacción del usuario, solo acceso a la red a través de HTTP, para hacerse cargo del servidor. Si ejecuta PeopleSoft con el Centro de gestión ambiental accesible desde el exterior, esa es su exposición, y el paso inmediato es bloquear esos puntos finales.
La vulnerabilidad se encuentra en el componente Updates Environment Management, la pieza detrás del Environment Management Hub (PSEMHUB). Oracle enumera PeopleTools 8.61 y 8.62 como afectados y dice anteriormente que las versiones no compatibles probablemente también sean vulnerables. Da crédito a los investigadores de TrendAI Zero Day Initiative y TrendAI Research por el informe.
El CTO de Mandiant, Charles Carmakal, confirmó que el error se está explotando en la naturaleza; Oracle no ha dicho si ha visto explotación. Su aviso apunta a un documento de disponibilidad de parches detrás de un inicio de sesión de soporte, y no está claro si una solución completa está ampliamente disponible. Por ahora, la orientación se centra en la mitigación.
El detalle operativo se hizo público porque los atacantes dejaron sus propios equipos expuestos. La investigadora @nahamike01 marcó públicamente los directorios abiertos. Luego, Mandiant clasifica cinco direcciones IP secuenciales que ejecutan el servidor SimpleHTTP de Python en el puerto 8888. Esos servidores expusieron los archivos provisionales: un .bash_history compartido, agentes de administración remota MeshCentral personalizados disfrazados de archivos binarios de Microsoft Azure y un script de movimiento lateral.
Los agentes llamaron a un servidor de comando y control en azurenetfiles.net, un dominio elegido para parecerse a Azure NetApp Files. El script, llamado (victim)_fanout.sh, se propaga a través de SSH rociando una lista codificada de nombres de usuario y contraseñas contra hosts internos extraídos de /etc/hosts, luego coloca un archivo de marcador llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en los directorios de PeopleSoft. El historial de comandos muestra los datos comprimidos con zstd y una conexión SSH saliente al servidor que aloja el espejo público del sitio de filtración de ShinyHunters.
Mandiant notificó a más de 100 organizaciones cuyas direcciones IP coincidían con puntos finales vulnerables. El sesenta y ocho por ciento estaban en educación superior, la mayoría de ellos en Estados Unidos. Algunos bloquearon la actividad; otros se vieron comprometidos y se publicaron datos en el sitio de la filtración.
La Universidad de Nottingham es una de las primeras víctimas confirmadas. Have I Been Pwned ha contado alrededor de 455.000 direcciones de correo electrónico únicas en el conjunto filtrado, que cubren estudiantes y ex alumnos actuales, con nombres, direcciones, números de teléfono, números de pasaporte y detalles sobre origen étnico y discapacidades. La universidad ha confirmado la infracción.
La guía de Oracle es deshabilitar el servicio Environment Management Hub en configuraciones de múltiples servidores o eliminar la aplicación PSEMHUB por completo en configuraciones de un solo servidor. Si no puede hacer ninguna de las dos cosas, bloquee el acceso externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) y /PSIGW/HttpListeningConnector en el perímetro.
Mandiant advierte que las normas de inspección de carrocerías del WAF por sí solas no son suficientes, ya que pueden eludirse. Restringir estos puntos finales no interrumpe las sesiones normales de los usuarios.
Luego busque señales de un compromiso existente:
- Registros de acceso de WebLogic que muestran solicitudes POST externas a /PSEMHUB/hub o /PSIGW/HttpListeningConnector.
- Archivos .jsp inesperados en el directorio de la aplicación web PSEMHUB.war, o carpetas impares denominadas logs, persistantstorage o scratchpad en las rutas de PSEMHUB.
- Archivos .xml modificados recientemente en envmetadata/data/environment de la raíz del documento web, de los que se puede abusar para la persistencia de XMLDecoder que se activa en el siguiente reinicio.
- Tráfico SMB saliente en el puerto 445 desde hosts de PeopleSoft a destinos externos, que la cadena de explotación puede utilizar para capturar hashes NetNTLM de cuentas de máquina.
Aplique la actualización de Oracle para su versión de PeopleTools una vez que confirme que está disponible en My Oracle Support.
ShinyHunters dice que el contacto con las víctimas apenas ha comenzado y no ha publicado la mayoría de las organizaciones que afirma, por lo que es probable que haya más nombres.
El método es lo más revelador. ShinyHunters últimamente se ha apoyado en vishing, tokens robados y controles de acceso débiles para robar datos de SaaS y plataformas educativas, desde clientes de Salesforce hasta Canvas. Un software ERP local de día cero del lado del servidor es un paso adelante, dirigido a los mismos objetivos ricos en datos.
La pregunta abierta es si se trató de un día cero prestado único o el comienzo de la transición de ShinyHunters hacia la explotación de ERP.
