ShinyHunters explorou zero-day do Oracle PeopleSoft por semanas antes de existir qualquer correção

O Google Threat Intelligence Group e a Mandiant confirmaram que o ShinyHunters, o prolífico grupo de extorsão de dados rastreado internamente como UNC6240, explorou uma vulnerabilidade crítica do Oracle PeopleSoft como zero-day por quase duas semanas antes de a Oracle publicar qualquer mitigação. A falha CVE-2026-35273 tem pontuação CVSS de 9.8 e permite execução remota de código não autenticada através do componente Environment Management do PeopleSoft.

A Oracle publicou um aviso de emergência fora do ciclo normal em 10 de junho, mas até hoje não há patches disponíveis — apenas soluções alternativas. A lacuna é significativa porque a exploração começou em 27 de maio, dando aos atacantes quase duas semanas de acesso irrestrito a sistemas vulneráveis.

Quem foi afetado

O Google notificou mais de 100 organizações cujos IPs correspondiam a endpoints PeopleSoft potencialmente expostos. Destas, 68% atuam no setor de ensino superior e a maioria está sediada nos EUA. A Universidade de Nottingham no Reino Unido é a primeira vítima confirmada publicamente; os dados roubados foram publicados no site de vazamento do ShinyHunters em 9 de junho.

Como o ataque funcionou

De acordo com o relatório Mandiant e GTIG, os atacantes configuraram servidores de staging com agentes MeshCentral disfarçados de endpoints de infraestrutura cloud legítima, executaram consultas de comandos administrativos e implantaram um script de movimento lateral personalizado para se propagar pelas redes e exfiltrar dados.

O que os administradores devem fazer agora

PeopleSoft Enterprise PeopleTools versões 8.61 e 8.62, bem como PeopleSoft Enterprise Applications, estão afetados. O aviso da Oracle inclui recomendações de hardening e mitigações de nível de rede que devem ser aplicadas imediatamente. O Google também publicou indicadores de comprometimento da campanha ShinyHunters para uso pelas equipes de segurança na busca por ameaças.