ShinyHunters udnytter nul-dages sårbarheder i Oracle PeopleSoft: Masseangreb mod universiteter

Gruppen brugte en såkaldt "gadget-kæde" – en angrebsmetode, hvor man kombinerer ældre, allerede kendte sårbarheder med helt nye, nul-dages sårbarheder specifikt i PeopleSoft . Effektiviteten af et sådant angreb afhænger af, hvordan den enkelte organisation har konfigureret sit PeopleSoft-system, fortalte hackerne til BleepingComputer .

ShinyHunters anvender en pay-or-leak-model: hvis ofrene nægter at betale, offentliggøres de stjålne data på deres lyssky lækageside .

Uddannelsessektoren var det primære mål

Det var især universiteterne, der blev offer for angrebet. ShinyHunters fokuserede massivt på højere læreanstalter, hvilket fortsatte en urovekkende trend fra tidligere kampagner i 2026 mod platforme som Canvas/Instructure og Salesforce Experience Cloud .

University of Nottingham bekræftede, at de var blevet hacket. Angriberne infiltrerede universitetets

Campus Solutions

Et taktikskifte: Fra vishing til nul-dages sårbarheder

PeopleSoft-kampagnen betegner en signifikant taktisk manøvre for ShinyHunters. I det meste af 2025 og starten af 2026 baserede gruppen sig næsten udelukkende på identitets- og adgangsmisbrug: vishing, social engineering, overtagelse af Okta SSO-konti og misbrug af OAuth-tokens . Ifølge rapporter fra Mandiant og Google Threat Intelligence Group udgav ShinyHunters sig for at være fra IT-support, dirigerede ansatte til falske virksomhedslogin-sider og stjal dermed både SSO-login og MFA-koder .

En trusselsvurdering fra Crosswalk fastslog kontant, at ShinyHunters "næsten aldrig udnytter softwaresårbarheder", men i stedet fokuserer på supportbekræftelser, medarbejderes MFA og tredjeparts SaaS OAuth-tokens . PeopleSoft-angrebene bryder totalt med det mønster ved at bruge ægte softwareudnyttelser – inklusiv nul-dages – noget man ikke tidligere har set fra dem .

Oracle og britiske myndigheder: Begrænset offentlig reaktion

Per den 10. juni 2026 havde Oracle hverken udsendt en offentlig udtalelse eller en sikkerhedsrådgivning, der specifikt adresserede denne kampagne. Der er endnu ikke annonceret eller bekræftet nogen patches relateret til denne aktivitet .

Britiske myndigheder – herunder det britiske datatilsyn, Information Commissioner's Office (ICO), og politiet – er endnu ikke kommet med specifikke offentlige kommentarer til hændelsen. University of Nottingham har håndteret sagen internt, informeret de studerende direkte og midlertidigt taget systemer offline for at undersøge sagen .

Indikatorer for kompromittering: Hvad ved vi?

Sikkerhedsbranchen har endnu ikke offentliggjort specifikke indicators of compromise (IoC'er) som IP-adresser eller fil-hashes for denne konkrete PeopleSoft-kampagne. Huntress har offentliggjort en bredere trusselsaktør-profil med netværksindikatorer knyttet til ShinyHunters' infrastruktur, men disse relaterer sig til deres SaaS-fokuserede kampagner og ikke til PeopleSoft-udnyttelsen specifikt .

Crosswalk-briefingen bemærker, at ShinyHunters' sædvanlige metode – identitetsmisbrug – sjældent producerer softwarespecifikke IoC'er, hvilket gør det vanskeligere at jage efter denne bestemte kampagne .

ShinyHunters' optrapning i 2026: Mønsteret i en massiv afpresningsbølge

PeopleSoft-kampagnen er en del af en brutal optrapning over hele 2026:

• Tidligt i 2026: AuraInspector-kampagnen udnyttede fejlkonfigurerede Salesforce Experience Cloud-miljøer, og gruppen hævdede at have ramt tæt på 400 organisationer .
• Februar 2026: Wynn Resorts-bruddet afslørede over 800.000 medarbejderdata, og den indledende adgang blev også her kædet sammen med en Oracle PeopleSoft-sårbarhed .
• April–Maj 2026: Bruddet på læringsplatformen Canvas/Instructure – det største datatyveri i uddannelsessektoren nogensinde – hvor ShinyHunters hævdede at have stjålet 275 millioner dataposter fra cirka 8.000-9.000 institutioner .
• Maj–Juni 2026: Bruddet hos teleselskabet Charter Communications blottede 4,9 millioner kundedata .
• Juni 2026: Oracle PeopleSoft-kampagnen føjer yderligere 100+ organisationer og 300+ servermiljøer til listen .

Verizons "2026 Data Breach Investigations Report" bekræftede et strukturelt skifte: For første gang i 19 år overhalede udnyttelse af sårbarheder de stjålne legitimationsoplysninger som den primære angrebsvektor . ShinyHunters' skifte til egentlige exploit-kæder – i stedet for identitetsmisbrug – passer perfekt ind i denne bredere tendens og signalerer, at masseparallelle kampagner mod meget udbredte virksomhedsplatforme sandsynligvis vil fortsætte.

For universiteterne er advarslen til at tage at føle på. Den samme platformskonsolidering, der gjorde software som Canvas og PeopleSoft uundværlig for fjernundervisning og administration, har også gjort dem til katastrofale, enkeltstående fejlpunkter, når hackere finder en ubeskyttet kant .