Les attaquants ont exploité un bug RCE critique non authentifié pour pénétrer dans des institutions d’enseignement supérieur, déployer des outils d’accès à distance furtifs et publier des données volées.
Un logiciel Zero Day d’Oracle PeopleSoft récemment divulgué est devenu l’arme de choix dans une récente campagne d’extorsion de ShinyHunters ciblant principalement les universités et autres établissements d’enseignement.
Les attaquants ont exploité la faille critique d’exécution de code à distance (RCE) dans le composant de gestion de l’environnement de PeopleSoft dont Oracle a commencé à avertir ses clients le 10 juin 2026. Dans un avis, la société a demandé une mise à jour immédiate sans aucune indication que la faille est activement exploitée.
L’équipe de renseignement sur les menaces de Google Cloud (GTIG) a déclaré que l’attaque s’était déroulée entre le 27 mai et le 9 juin, avant qu’Oracle ne reconnaisse publiquement le problème. Google a déclaré avoir informé plus de 100 organisations dont les systèmes connectés à Internet semblaient potentiellement exposés, 68 % des cibles identifiées appartenant au secteur de l’enseignement supérieur.
« Alors que plusieurs organisations ont réussi à bloquer l’activité ou à corriger les vulnérabilités, d’autres ont été confrontées à une compromission, entraînant la publication de données volées sur le DLS (Data Leak Site) de ShinyHunters. » GTIG a déclaré dans un article de blog.
ShinyHunters, ou des groupes essayant d’utiliser leur nom, auraient publié des preuves téléchargeables de l’attaque sur leur DLS le 9 juin. Le message affirmait que les données compromises comprenaient « plus de 40 Go d’enregistrements de facturation et de paiement, de détails de carte de crédit et de paiement, de données sur les finances des étudiants et d’exportations de portails de campus ».
Dans un message de suivi du 11 juin, les attaquants ont menacé de fuite de données si les victimes contactées par eux ne répondaient pas dans « le délai ».
James Davison, directeur de la stratégie chez Pathlock, a déclaré que l’incident reflète un paysage de menaces en évolution. « La faille d’Oracle PeopleSoft est un exemple du nouveau type d’attaques auquel chaque ERP sera confronté dans le nouveau monde agentique d’aujourd’hui », a-t-il déclaré, soulignant la facilité des attaques à l’ère de l’IA. « Les entreprises doivent réévaluer la sécurité et les contrôles de leur ERP et s’adapter, car ils sont exposés. »
Une faille PeopleSoft a donné une longueur d’avance aux attaquants
La campagne s’est appuyée sur CVE-2026-35273, une vulnérabilité critique du composant de gestion de l’environnement d’Oracle PeopleSoft, avec un score CVSS de 9,8 sur 10, qui permet une RCE non authentifiée sur des systèmes Internet vulnérables.
Selon l’avis d’Oracle, la vulnérabilité affecte PeopleSoft Enterprise PeopleTools, versions 8.61 et 8.62, et les atténuations ne sont disponibles que pour les versions prises en charge. Il a été conseillé de mettre à niveau les versions antérieures, qui pourraient être affectées par la faille, vers les versions prises en charge.
Après avoir exploité CVE-2026-35273 pour obtenir un accès initial, l’attaquant a décidé d’établir la persistance et de maintenir le contrôle à distance sur les systèmes compromis. Les chercheurs de Google ont observé UNC6240, un cluster associé à ShinyHunters, déployant une version personnalisée de la plate-forme open source de surveillance et de gestion à distance (RMM) MeshCentral. Ils l’ont fait en déguisant la plateforme en services Microsoft Azure légitimes.
« L’agent (MeshCentral) est un logiciel qui s’exécute sur des appareils distants pour permettre la gestion à distance sur divers systèmes d’exploitation, notamment Windows, Linux, macOS et FreeBSD », ont déclaré les chercheurs. « L’analyse statique indique que ces agents ont été codés en dur pour établir la communication avec le serveur de commande et de contrôle (C2) wss://azurenetfiles.net:443/agent.ashx. »
Une fois installé, l’outil permettait aux opérateurs d’exécuter des commandes à distance et de continuer à interagir avec les environnements infectés.
Les assaillants ont laissé les lumières allumées
Une partie de l’enquête de Google a été facilitée par des erreurs opérationnelles commises par les attaquants eux-mêmes. La campagne a d’abord attiré l’attention après qu’un chercheur en sécurité, connu sur X sous le nom de @nahamike01, ait rapporté avoir découvert une infrastructure exposée à Internet lors de l’opération.
« ShinyHunters a exposé plusieurs répertoires révélant un ciblage continu des environnements PeopleSoft », a déclaré le chercheur dans un article X. « Des documents de préparation, notamment des agents MeshCentral, ainsi qu’un script de dégradation et de pulvérisation d’informations d’identification étaient également visibles. »
Google a déclaré que les répertoires d’attaquants exposés mis en évidence par @nahamike01 ont aidé son équipe à analyser le contenu, y compris les documents de préparation, les agents personnalisés et les historiques de commandes des attaquants. Les répertoires ont été exposés sur cinq adresses IP séquentielles (142.11.200(.)186-190), ce qui en fait les principaux indicateurs de compromission (IOC).
Google a exhorté les organisations à appliquer les correctifs pour CVE-2026-35273 et à examiner les déploiements PeopleSoft pour les indicateurs associés à la campagne. Les chercheurs ont en outre conseillé aux organisations d’enquêter sur les accès privilégiés, d’activer une journalisation complète et de renforcer la surveillance autour des installations MeshCentral non autorisées.
« Cette attaque montre que la sécurité périmétrique traditionnelle et l’authentification au niveau IdP sont nécessaires, mais pas suffisantes », a déclaré Davison. « La sécurité ERP moderne nécessite une approche à plusieurs niveaux qui combine des contrôles préventifs, une surveillance continue et une visibilité sur l’activité des utilisateurs. La visibilité sur l’activité des utilisateurs est essentielle ici, la surveillance comportementale pour détecter les exceptions n’est plus une « opportunité ». »
