Les ShinyHunters exploitent en masse une vulnérabilité dans Oracle PeopleSoft

Nos confrères de Bleeping Computer le révélaient mercredi 10 juin, et l'université de Nottingham, outre-Manche, compte parmi les premières victimes : les ShinyHunters se sont lancé dans une campagne d'exploitation d'une vulnérabilité affectant Oracle PeopleSoft.

Cette activité, observée entre le 27 mai et le 9 juin, selon Mandiant, concerne la CVE-2026-35273, une vulnérabilité critique d'exécution de code à distance dans le composant Environment Management. L'exploitation a été réalisée alors que la vulnérabilité était inédite, un 0day : elle a précédé l'avis de sécurité d'Oracle publié le 10 juin 2026. Plus des deux tiers des organisations touchées opèrent dans l'enseignement supérieur.

La méthodologie des attaquants a débuté par l'exploitation de la vulnérabilité. Pour établir leur centre de commande et de contrôle (C2), les attaquants ont déployé des agents MeshCentral personnalisés. Ces agents étaient déguisés en services cloud légitimes.

Ils ont été configurés pour communiquer avec le serveur C2 via le domaine `azurenetfiles.net`, un choix tactique visant à imiter les points de terminaison de Microsoft Azure NetApp Files. Une fois le C2 établi, les attaquants ont procédé à une reconnaissance ciblée de l'environnement PeopleSoft. Ils ont cartographié les configurations du système en inspectant le fichier de configuration du planificateur de processus ainsi que les configurations XML du serveur WebLogic. De quoi de dresser une carte des serveurs applicatifs internes.

Après l'établissement du point d'ancrage initial, la campagne a progressé vers l'expansion interne. Les attaquants ont utilisé un script de propagation spécifique pour automatiser la pulvérisation d'identifiants SSH. Ce script parcourait les hôtes internes et tentait l'authentification en utilisant une liste codée en dur de noms d'utilisateur et de mots de passe administratifs.

Ce déplacement latéral a permis aux attaquants de se propager à travers le réseau interne. Une fois l'accès établi, le script déposait une note de rançon dans les répertoires WebLogic et Process Scheduler, ce qui a précédé la publication des données volées sur le site vitrine des ShinyHunters.