O grupo ShinyHunters explorou uma vulnerabilidade zero-day crítica (CVE-2026-35273) no Oracle PeopleSoft para comprometer mais de 100 organizações globalmente entre 27 de maio e 10 de junho de 2026. A falha de execução remota de código, com pontuação CVSS de 9.8, atingiu predominantemente instituições de educação superior e teve a Universidade de Nottingham como primeira vítima confirmada.
O grupo de ameaça — rastreado como UNC6240 pela Mandiant, divisão de inteligência de ameaças do Google — explorou a vulnerabilidade de execução remota de código no componente Environment Management Hub (PSEMHUB) do Oracle PeopleSoft Enterprise PeopleTools nas versões 8.61 e 8.62. A falha permite que um atacante remoto e não autenticado assuma o controle total do servidor com simples acesso HTTP, sem exigir credenciais ou qualquer interação do usuário, conforme documentado pelo The Hacker News.
A vulnerabilidade reside especificamente no componente Updates Environment Management, a peça por trás do PSEMHUB. A Oracle lista as versões PeopleTools 8.61 e 8.62 como afetadas e indica que versões anteriores sem suporte provavelmente também são vulneráveis. Os pesquisadores da TrendAI Zero Day Initiative e TrendAI Research são creditados pela descoberta da falha, que combina uma vulnerabilidade conhecida anterior com um novo zero-day em uma cadeia de gadgets para atingir execução remota de código completa.
Como o ataque foi montado
A campanha teve início em 27 de maio de 2026, quando os atacantes configuraram infraestrutura de staging em cinco endereços IP sequenciais (142.11.200.186 a 142.11.200.190), cada um executando um servidor Python SimpleHTTPServer na porta 8888. Esses servidores expuseram diretórios com histórico de comandos compartilhado, materiais de preparação e agentes MeshCentral de gerenciamento remoto pré-configurados, conforme análise detalhada pela Cyber Security News.
Os agentes Windows — disfarçados como binários legítimos do Microsoft Azure com nomes como meshagent64-azure-ops.exe e meshagent32-azure-ops.exe — estabeleceram comunicação persistente com o servidor de comando e controle no domínio azurenetfiles.net, criado deliberadamente para se passar pelo Azure NetApp Files. Os atacantes utilizaram certificados SSL do Let’s Encrypt para legitimar a conexão, provisionados automaticamente às 22:25 UTC via pacote acme-client npm, minutos após a instalação do MeshCentral v1.1.59 às 22:14 UTC.
Infraestrutura e táticas do grupo
A Mandiant identificou que os atacantes executaram reconhecimento detalhado nos sistemas comprometidos. Usando o utilitário meshctrl.js, inspecionaram arquivos de configuração como psappsrv.cfg, mapearam montagens NFS ativas e leram config.xml do WebLogic para identificar servidores de aplicação internos e expandir o raio de comprometimento.
O movimento lateral foi automatizado por um script personalizado denominado [abreviação_da_vítima]_fanout.sh, implantado no diretório /tmp. O script realizava spraying de credenciais SSH contra hosts internos extraídos do arquivo /etc/hosts usando uma lista de nomes de usuário e senhas hardcoded. Após a autenticação bem-sucedida, o script depositava um arquivo de marcação de extorsão chamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT nos diretórios do WebLogic e do Process Scheduler.
Os dados exfiltrados eram comprimidos com zstd e transferidos via conexão SSH de saída para o endereço IP 176.120.22.24, que hospeda o espelho público do site de vazamentos do ShinyHunters. Todo o histórico de comandos dos atacantes ficou exposto nos diretórios abertos dos servidores de staging, permitindo à Mandiant reconstruir a operação em detalhes.
Cronologia do ataque
| Data | Evento |
|---|---|
| 27/05/2026 | Atacantes instalam MeshCentral v1.1.59 e provisionam certificados SSL no staging |
| 27/05 – 09/06 | Janela de exploração ativa contra instâncias PeopleSoft expostas |
| 09/06/2026 | Dados roubados são publicados no site de vazamentos do ShinyHunters |
| 10/06/2026 | Oracle publica advisory de segurança fora do ciclo para CVE-2026-35273 |
| 11/06/2026 | Universidade de Nottingham confirma violação de aproximadamente 40 GB de dados |
Vítimas e impacto confirmado
O Google Threat Intelligence Group notificou mais de 100 organizações globais cujos endereços IP correspondiam a endpoints potencialmente vulneráveis. Segundo o The Register, 68% dessas organizações estão no setor de educação superior, a maioria localizada nos Estados Unidos. Cerca de 300 instâncias vulneráveis foram identificadas no total.
A Universidade de Nottingham, no Reino Unido, é a primeira vítima confirmada publicamente. O ShinyHunters publicou cerca de 40 GB de dados roubados no seu site de vazamentos depois que a instituição se recusou a pagar a extorsão. O banco de dados Have I Been Pwned contabilizou cerca de 455.000 endereços de e-mail únicos no conjunto vazado, cobrindo estudantes atuais e ex-alunos. Os dados incluem nomes, endereços residenciais, números de telefone, números de passaporte e informações sensíveis sobre etnia e deficiências.
Um porta-voz do ShinyHunters declarou ao The Register que a Universidade de Nottingham é “uma das primeiras incidentes publicamente confirmados” e que o grupo “apenas começou a entrar em contato com as organizações afetadas”, indicando que mais nomes devem surgir. A universidade confirmou oficialmente a violação em comunicado público.
Mitigação e proteção
A orientação imediata da Oracle é desativar o serviço Environment Management Hub em ambientes multi-servidor ou remover a aplicação PSEMHUB em instalações de servidor único. Se nenhuma das opções for viável, o acesso externo aos caminhos /PSEMHUB/* (especialmente /PSEMHUB/hub) e /PSIGW/HttpListeningConnector deve ser bloqueado no perímetro da rede. Essas restrições não afetam sessões normais de usuário.
A Mandiant alerta que regras de inspeção de corpo em WAF não são suficientes, pois podem ser contornadas. Equipes de segurança devem investigar indícios de comprometimento em logs de acesso do WebLogic mostrando requisições POST externas para /PSEMHUB/hub, arquivos .jsp inesperados no diretório PSEMHUB.war, pastas incomuns nomeadas logs, persistantstorage ou scratchpad nos caminhos do PSEMHUB, e tráfego SMB outbound na porta 445 para destinos externos.
O CTO da Mandiant, Charles Carmakal, confirmou em post no LinkedIn que a vulnerabilidade está sendo explorada ativamente em ambiente real e que patches devem ser disponibilizados em breve. A correção completa permanece atrás de login no My Oracle Support, e não está claro se um patch definitivo já está amplamente disponível. Organizações que executam PeopleSoft devem aplicar as mitigações imediatamente e monitorar ativamente sinais de comprometimento.
Fontes
- The Hacker News — ShinyHunters Exploits Oracle PeopleSoft Zero-Day (CVE-2026-35273) to Breach Universities
- The Register — ShinyHunters hacked 100+ orgs by exploiting an Oracle PeopleSoft 0-day
- Cyber Security News — Oracle PeopleSoft 0-Day RCE Vulnerability Exploited in Attacks by ShinyHunters
- Google Cloud Threat Intelligence — ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit