Grupo explora falha sem patch
O grupo ShinyHunters explorou uma vulnerabilidade zero-day no Oracle PeopleSoft, identificada como CVE-2026-35273 com CVSS 9.8, para invadir mais de 100 organizações entre 27 de maio e 9 de junho de 2026. A falha permite execução remota de código sem autenticação. A Oracle corrigiu o problema apenas em 10 de junho, e 68% das vítimas eram universidades.
De acordo com análise publicada pela Mandiant e pelo Google Threat Intelligence Group (GTIG), a campanha foi atribuída ao grupo UNC6240, associado ao ShinyHunters. A vulnerabilidade reside no componente Environment Management do PeopleSoft, especificamente no endpoint PSEMHUB. Basta acesso à rede ao hub de gerenciamento para assumir o controle do servidor — sem credenciais, sem interação do usuário. A Oracle já havia emitido alerta emergencial sobre o PeopleSoft, mas o patch demorou a chegar.
As versões afetadas do PeopleTools são 8.61 e 8.62, embora a Oracle alerte que versões anteriores sem suporte também são vulneráveis. A janela de exploração sem patch durou quase duas semanas — tempo suficiente para que o grupo comprometesse mais de 300 instâncias do PeopleSoft.
| Versão afetada | Componente | CVSS | Patch |
|---|---|---|---|
| PeopleTools 8.61 | Environment Management Hub | 9.8 | 10 jun 2026 |
| PeopleTools 8.62 | Environment Management Hub | 9.8 | 10 jun 2026 |
Como o ataque funcionou
Os invasores deixaram sua infraestrutura de staging exposta, o que permitiu à Mandiant reconstruir toda a operação. Cinco endereços IP sequenciais rodavam servidores HTTP Python na porta 8888, todos com um arquivo .bash_history idêntico que registrava cada passo do ataque com data e hora.
Em 27 de maio às 22h14 UTC, os atacantes instalaram o MeshCentral 1.1.59, uma ferramenta legítima de gerenciamento remoto. Onze minutos depois, provisionaram certificados SSL do Let’s Encrypt para o domínio azurenetfiles.net, escolhido para se passar pelo Azure NetApp Files da Microsoft. Agentes Windows disfarçados como serviços do Azure — meshagent32-azure-ops.exe e meshagent64-azure-ops.exe — se conectavam ao servidor de comando e controle via WebSocket na porta 443.
A partir daí, os atacantes usaram o MeshCentral para mapear configurações do PeopleSoft, ler arquivos do Process Scheduler, inspecionar XML do WebLogic e identificar alvos adicionais dentro de cada rede comprometida. A movimentação lateral ocorreu por meio de scripts personalizados chamados fanout.sh, que testavam combinações de usuários e senhas via SSH contra hosts internos encontrados no arquivo /etc/hosts.
Dados roubados e extorsão
A exfiltração usava compressão zstd seguida de conexão SSH para o IP 176.120.22.24, que hospeda o espelho público do site de vazamentos do ShinyHunters. Em cada servidor comprometido, os atacantes copiavam um arquivo chamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT para diretórios do WebLogic e do Process Scheduler — simultaneamente um marcador de extorsão e um mecanismo de confirmação de propagação.
A Universidade de Nottingham está entre as vítimas confirmadas. O banco de dados Have I Been Pwned indexou aproximadamente 455 mil endereços de e-mail únicos nos dados vazados, incluindo nomes, endereços, números de telefone, passaportes e registros sobre etnia e deficiência de estudantes e ex-alunos.
O ShinyHunters informou que a divulgação dos dados das vítimas mal começou e que a maioria das organizações comprometidas ainda não foi exposta publicamente. Isso sugere que o número de vítimas confirmadas pode crescer nas próximas semanas.
Medidas imediatas de proteção
A orientação da Oracle é desativar o serviço Environment Management Hub em ambientes multi-servidor ou remover a aplicação PSEMHUB em instalações de servidor único. Se nenhuma dessas opções for viável, bloqueie o acesso externo aos endpoints /PSEMHUB/* e /PSIGW/HttpListeningConnector no perímetro da rede.
Organizações que executam PeopleSoft devem verificar logs de acesso ao PSEMHUB entre 27 de maio e 10 de junho de 2026, inspecionar conexões de saída para azurenetfiles.net e para o IP 176.120.22.24, e buscar processos meshagent em execução. A aplicação do patch de 10 de junho é obrigatória, mas não substitui a investigação de possível comprometimento anterior.