ShinyHunters explotó durante semanas un zero-day de Oracle PeopleSoft antes de que existiera cualquier corrección
El Grupo de Inteligencia de Amenazas de Google y Mandiant han confirmado que ShinyHunters, el prolífico grupo de extorsión de datos rastreado internamente como UNC6240, explotó una vulnerabilidad crítica de Oracle PeopleSoft como zero-day durante casi dos semanas antes de que Oracle publicara cualquier mitigación. La falla, CVE-2026-35273, tiene una puntuación CVSS de 9.8 y permite la ejecución remota de código no autenticada a través del componente Environment Management de PeopleSoft.
Oracle publicó un aviso de emergencia fuera de banda el 10 de junio, pero a día de hoy no hay parches disponibles — solo soluciones temporales. La brecha es significativa porque la explotación comenzó el 27 de mayo, dando a los atacantes casi dos semanas de acceso sin restricciones a sistemas vulnerables.
Quiénes resultaron afectados
Google notificó a más de 100 organizaciones cuyos IPs coincidían con endpoints potencialmente expuestos de PeopleSoft. De ellas, el 68% opera en el sector de educación superior y la mayoría tiene sede en EE.UU. La Universidad de Nottingham en el Reino Unido es la primera víctima confirmada públicamente; los datos robados se publicaron en el sitio de filtración de ShinyHunters el 9 de junio.
Cómo funcionó el ataque
Según el informe de Mandiant y GTIG, los atacantes configuraron servidores intermedios con agentes MeshCentral disfrazados de endpoints de infraestructura cloud legítima, ejecutaron consultas de comandos administrativos y desplegaron un script de movimiento lateral personalizado para propagarse por las redes y exfiltrar datos.
Qué deben hacer los administradores ahora
PeopleSoft Enterprise PeopleTools versiones 8.61 y 8.62, así como PeopleSoft Enterprise Applications, están afectadas. El aviso de Oracle incluye recomendaciones de refuerzo y mitigaciones a nivel de red que deben aplicarse de inmediato. Google también ha publicado indicadores de compromiso de la campaña ShinyHunters para que los equipos de seguridad los usen en la búsqueda de amenazas.
Originally reported by SecurityWeek. Read the original article for additional details.
View original source