O Google confirmou que uma vulnerabilidade no PeopleSoft, mitigada pela Oracle nesta semana, foi explorada pelo ShinyHunters como zero-day para roubar dados de organizações.
A Oracle publicou um aviso fora de banda (out-of-band) e um alerta de segurança para a CVE-2026-35273, uma vulnerabilidade crítica de execução remota de código (RCE) sem autenticação que afeta as versões 8.61 e 8.62 do PeopleSoft Enterprise PeopleTools, além das Aplicações Corporativas do PeopleSoft.
A gigante de software disponibilizou mitigações, mas os patches ainda não parecem estar disponíveis.
O PeopleSoft é um pacote de software de ERP (Planejamento de Recursos Empresariais) usado por muitas grandes organizações para gerenciar uma ampla gama de funções de negócios, incluindo RH (Recursos Humanos), folha de pagamento, finanças, cadeia de suprimentos e operações de campus.
Embora a solução seja usada em diversos setores, a campanha do ShinyHunters explorando a CVE-2026-35273 parece ter focado no setor educacional. A Universidade de Nottingham, no Reino Unido, é a primeira vítima confirmada.
A Mandiant e o Google Threat Intelligence Group (GTIG — Grupo de Inteligência de Ameaças do Google) relataram ter observado atividades associadas à exploração do zero-day no PeopleSoft entre 27 de maio e 9 de junho. Os ataques foram atribuídos ao ShinyHunters, que o Google rastreia como UNC6240.
Os pesquisadores do Google notificaram mais de 100 organizações globais sobre a possível exposição, a maioria delas sediada nos EUA, com 68% no setor de ensino superior.
A gigante de tecnologia disse que alguns dos alvos bloquearam o ataque, mas outros tiveram seus sistemas comprometidos e dados roubados.
O ShinyHunters afirma ter mirado cerca de 300 instâncias do PeopleSoft pertencentes a 100 organizações.
"Os ambientes de preparação do atacante hospedaram agentes personalizados do MeshCentral se passando por endpoints legítimos de nuvem, que foram usados para executar consultas de comandos administrativos e implantar um script personalizado de movimento lateral e desfiguração, [abreviação_da_vítima]_fanout.sh", explicaram a Mandiant e o GTIG em relatório. "Esta campanha se correlaciona diretamente com vazamentos subsequentes de dados de organizações roubadas publicados no ShinyHunters Data Leak Site (DLS — Site de Vazamento de Dados) em 9 de junho de 2026."
O Google compartilhou recomendações de remediação e endurecimento (hardening), além de detalhes técnicos sobre os ataques e indicadores de comprometimento (IoCs — Indicators of Compromise).
A Oracle não respondeu à consulta da SecurityWeek sobre a exploração.
A TrendAI (negócio corporativo da Trend Micro), cujos pesquisadores foram creditados pela Oracle por reportar a CVE-2026-35273, disse à SecurityWeek que atualmente observa exploração limitada da vulnerabilidade, mas a investigação está em andamento.
