Servidores Oracle PeopleSoft estão sob ataque do grupo de extorsão ShinyHunters, que afirma ter roubado dados de mais de 100 organizações em 300 instâncias distintas. A campanha, descoberta em 10 de junho de 2026, explora uma cadeia de vulnerabilidades conhecidas e zero-days para acessar sistemas corporativos de gestão empresarial, com foco em instituições de ensino.
Como o ataque funciona
O ShinyHunters utiliza uma “gadget chain” — combinação de vulnerabilidades antigas e falhas ainda não corrigidas — para comprometer instâncias PeopleSoft, tanto em nuvem quanto on-premises. Após o acesso inicial, scripts automatizados varrem o arquivo /etc/hosts em busca de sistemas relacionados ao PeopleSoft e tentam conexão SSH usando credenciais administrativas padrão como psoft, oracle e linuxadm.
Quando a autenticação por senha falha, o script tenta autenticação por chave SSH como alternativa. Uma vez conectado, o atacante deposita uma nota de resgate chamada README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT nos diretórios dos servidores web e de aplicação PeopleSoft. Essa abordagem é consistente com operações anteriores do ShinyHunters, grupo já conhecido por campanhas de extorsão de grande escala.
Educação no centro do alvo
Segundo o próprio grupo, a maioria das organizações atingidas pertence ao setor educacional. A Universidade de Nottingham, no Reino Unido, foi confirmada como vítima e teve dados publicados no site de vazamentos do ShinyHunters. A instituição emitiu comunicado reconhecendo o incidente de segurança.
O caso guarda semelhança com o ataque à Wynn Resorts em 2025, quando o mesmo grupo explorou uma vulnerabilidade PeopleSoft para roubar mais de 800 mil registros de funcionários, incluindo números de previdência social. Naquela ocasião, o ShinyHunters exigiu 22,34 bitcoins (cerca de US$ 1,5 milhão) para não divulgar os dados.
Indicadores de comprometimento
O pesquisador de segurança “Michael R” descobriu diretórios expostos contendo ferramentas usadas nos ataques, incluindo agentes MeshCentral e scripts de defacement e credential spraying. Os seguintes endereços IP foram identificados como IOCs:
| Endereço IP | Detalhes |
|---|---|
| 142.11.200[.]186 | Relacionado ao domínio azurenetfiles[.]net |
| 142.11.200[.]187 | Certificado TLS vinculado ao ShinyHunters |
| 142.11.200[.]188 | Ataque via PeopleSoft |
| 142.11.200[.]189 | Ataque via PeopleSoft |
| 142.11.200[.]190 | Ataque via PeopleSoft |
| 108.174.202[.]99 | Infraestrutura auxiliar |
| 176.120.22[.]24 | Infraestrutura auxiliar |
Cinco dos servidores expuseram arquivos .bash_history que revelaram detalhes operacionais da campanha. O domínio azurenetfiles[.]net, presente em certificados TLS dos IPs, já havia sido associado ao ShinyHunters em operações anteriores.
O que fazer agora
Organizações que utilizam Oracle PeopleSoft devem verificar imediatamente logs de rede em busca de conexões originadas dos IPs listados acima. Se atividade suspeita for detectada, inicie procedimentos de resposta a incidentes, isole os servidores afetados da internet e revise as credenciais administrativas — especialmente contas psoft, oracle e linuxadm. Desative autenticação SSH por senha e enforce exclusivamente chaves criptográficas. Aplique todos os patches de segurança da Oracle, incluindo o Critical Patch Update mais recente.