STOCKYE STUDIO - stock.adobe.com

Actualites

Cyber-extorsion : un prétendu affilié de Cl0p s’attaque à Oracle E-Business Suite

Depuis quelques jours, un acteur malveillant se réclamant de l’enseigne Cl0p tente de faire chanter les dirigeants de nombreuses entreprises en affirmant avoir compromis leurs applications Oracle E-Business Suite.

Valéry Rieß-Marchive
par
Publié le: 02 oct. 2025

C’est autour du 29 septembre que les premières missives numériques ont commencé à être reçues. Dans celles-ci, un acteur malveillant se réclame de l’enseigne de cybercriminels bien connue et redoutée Cl0p.

Ces missives ont été adressées aux dirigeants de nombreuses organisations à travers le monde. Leur auteur affirme avoir compromis leurs applications Oracle E-Business Suite et en avoir volé des données sensibles.

C’est Austin Larsen, analyste principal de menaces au sein du Google Threat Intelligence Group (GTIG), qui l’indique. Et de préciser que si les allégations de violation de données n’ont pas, pour l’heure, été confirmées, au moins deux éléments confortent les affirmations de l’acteur malveillant : « cette campagne utilise des centaines de comptes email compromis, suivant une technique précédemment utilisée par FIN11 », souvent associé à Clop ; et les adresses de contact mentionnées dans les notes d’extorsion sont les mêmes que celles mentionnées par Cl0p sur son site vitrine.

Cette enseigne de cyber-extorsion n’a pas fait parler d’elle depuis de longs mois. Sa dernière importante campagne remonte à l’automne 2024. Elle s’appuyait sur l’exploitation en masse de la vulnérabilité CVE-2024-50623 qui affectait les instances Cleo Harmony, Cleo VLTrader et Cleo LexiCom jusqu’à la version 5.8.0.23.

En 2023, le gang Cl0p a fait des milliers de victimes en exploitant une vulnérabilité inédite dans le produit MoveIt Transfer de Progress Software.

Auparavant, Cl0p avait également exploité une vulnérabilité de type 0day dans le logiciel GoAnywhere MFT de Fortra, ce qui avait entraîné des retombées massives. Des attaquants ont également exploité une vulnérabilité critique de Citrix ShareFile, référencée CVE-2023-24489 l’année dernière, deux mois après que Citrix a révélé la faille et publié un correctif.

En 2023, Cl0p a montré qu’il avait développé des capacités sans pareil d’industrialisation de ses attaques contre des systèmes abritant des données potentiellement sensibles, affectés par des vulnérabilités inédites. La surprise résidait surtout dans le fait qu’il n’en profite pas plus. Il pourrait bien avoir marqué son grand retour aux affaires.

Pour approfondir sur Menaces, Ransomwares, DDoS