FOTO Mídias Sociais Reprodução Notisul
Tempo de leitura: 4 minutos
O Google confirmou que o grupo de extorsão conhecido como ShinyHunters explorou uma vulnerabilidade crítica no Oracle PeopleSoft antes que qualquer correção estivesse disponível. A informação foi divulgada pela Mandiant e pelo Google Threat Intelligence Group entre 27 de maio e 9 de junho de 2026, atualizando investigações sobre ataques que afetaram organizações em diversos países.
Segundo a Mandiant, os ataques foram atribuídos ao grupo monitorado como UNC6240, identificado como o mesmo responsável pelas operações do ShinyHunters. A descoberta indica que a campanha utilizou uma falha inédita no sistema, e não apenas vulnerabilidades antigas já conhecidas.
Falha crítica recebeu nota 9,8 de gravidade
A vulnerabilidade foi catalogada como CVE-2026-35273 e recebeu nota 9,8 em uma escala de 10 de gravidade.
O problema permite que invasores executem comandos remotamente nos servidores sem necessidade de autenticação ou interação da vítima. Para a exploração, basta que o sistema esteja acessível pela internet.
A falha está localizada no componente Environment Management Hub (PSEMHUB), utilizado pelo Oracle PeopleSoft. A Oracle confirmou que as versões 8.61 e 8.62 do PeopleTools são vulneráveis. Versões mais antigas, que já não recebem suporte oficial, também podem estar expostas ao problema.
O alerta oficial da Oracle foi publicado apenas em 10 de junho. Isso significa que os criminosos exploraram a vulnerabilidade durante semanas sem que a fabricante ou os usuários soubessem da sua existência, caracterizando um ataque do tipo zero-day.
Mais de 100 organizações foram notificadas
O Google informou ter notificado mais de 100 organizações ao redor do mundo sobre a possível exposição dos seus sistemas.
A maioria das instituições afetadas está nos Estados Unidos. Segundo a empresa, cerca de 68% dos alvos identificados pertencem ao setor de ensino superior.
Parte das organizações conseguiu bloquear as tentativas de invasão antes da exploração completa da falha. Outras, porém, tiveram seus sistemas comprometidos e dados roubados.
Pesquisadores também encontraram servidores utilizados pelos criminosos expostos na internet, o que permitiu identificar ferramentas e métodos empregados na campanha.
Como os ataques eram realizados
De acordo com a Mandiant, os invasores utilizaram softwares de acesso remoto disfarçados como ferramentas legítimas da Microsoft Azure.
O domínio usado para controlar os ataques, “azurenetfiles.net”, possuía nome semelhante a serviços oficiais da plataforma, estratégia que ajudava a dificultar a identificação das atividades maliciosas.
Após comprometer um servidor, os criminosos executavam um script chamado “[nome_da_vítima]_fanout.sh”. O programa tentava se espalhar pela rede utilizando credenciais conhecidas e, ao final da operação, deixava um arquivo com a mensagem “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT”.
A Mandiant afirmou ainda que a campanha está diretamente ligada aos vazamentos publicados no portal de extorsão do ShinyHunters em 9 de junho.
Universidade de Nottingham está entre as vítimas
Uma das primeiras vítimas confirmadas é a Universidade de Nottingham, no Reino Unido.
O serviço Have I Been Pwned identificou aproximadamente 455 mil endereços de e-mail únicos entre os dados vazados. As informações expostas incluem nomes, endereços, números de telefone, passaportes e até dados relacionados à etnia e deficiência de estudantes e ex-alunos.
Segundo os investigadores, os dados foram posteriormente publicados pelo grupo criminoso após a invasão dos sistemas.
Oracle orienta medidas emergenciais
A Oracle publicou um alerta extraordinário de segurança, mas ainda não disponibilizou uma correção completa para a vulnerabilidade.
Enquanto o patch definitivo não é lançado, a recomendação é desativar o serviço Environment Management Hub ou, em ambientes com apenas um servidor, remover completamente o aplicativo PSEMHUB.
Para organizações que não podem adotar essas medidas imediatamente, a orientação é restringir o acesso externo aos endereços afetados e realizar verificações em busca de arquivos suspeitos ou alterações recentes relacionadas ao componente vulnerável.
Mudança de estratégia preocupa especialistas
O ShinyHunters afirma ter comprometido cerca de 300 sistemas PeopleSoft pertencentes a aproximadamente 100 organizações diferentes.
Especialistas apontam que a exploração direta de uma vulnerabilidade crítica em software corporativo representa uma mudança de estratégia do grupo, conhecido anteriormente por ataques baseados em engenharia social, golpes por telefone e roubo de credenciais em serviços de nuvem.
A nova abordagem demonstra interesse crescente em organizações que armazenam grandes volumes de dados pessoais e informações sensíveis.
Serviço
Vulnerabilidade: CVE-2026-35273
Sistema afetado: Oracle PeopleSoft (PeopleTools 8.61 e 8.62)
Gravidade: 9,8/10
Tipo de falha: Execução remota de código sem autenticação
Recomendação da Oracle: Desativar o Environment Management Hub (PSEMHUB) ou restringir o acesso externo ao componente
