ShinyHunters sprengt Oracle PeopleSoft: Massiver Datenklau an über 100 Universitäten

Zum Einsatz kam eine sogenannte „Gadget Chain“ – eine Verkettung älterer, bekannter Schwachstellen mit neuartigen Zero-Day-Exploits in PeopleSoft . Laut Aussagen der Gruppe gegenüber BleepingComputer funktioniert der Angriff nicht überall gleich; der Erfolg hängt von der jeweiligen Konfiguration der PeopleSoft-Installation ab .

Das Modell von ShinyHunters ist simpel und brutal: Zahlen oder Daten werden veröffentlicht. Wenn Opfer die Lösegeldforderung verweigern, landen die gestohlenen Informationen auf der Leak-Seite der Bande .

Der Bildungssektor als Hauptziel

Den schwersten Schlag traf es die Hochschulen. ShinyHunters konzentrierte sich massiv auf Bildungseinrichtungen – ein Muster, das sich bereits bei den früheren Kampagnen 2026 gegen Canvas/Instructure und Salesforce Experience Cloud abzeichnete .

Die University of Nottingham bestätigte den Angriff. Die Hacker drangen Ende Mai 2026 in das Campus-Lösungen-Studentenverwaltungssystem der Universität ein – betrieben mit Oracle PeopleSoft . Eine von ShinyHunters veröffentlichte Datenprobe enthielt Studierenden-, Bewerber-, Finanzhilfe-, Einwanderungs-, Gesundheits- und Verwaltungsdaten . Die Gruppe prahlte mit dem Diebstahl von über 40 GB sensibler Informationen, darunter Rechnungs- und Zahlungsdaten, Kreditkartendetails, Studienfinanzierungsdaten sowie Campus-Portal-Exporte, die die Standorte der Universität in Großbritannien, Malaysia und China betreffen .

Strategiewechsel: Vom Telefonbetrug zu Zero-Day-Exploits

Die PeopleSoft-Kampagne bedeutet eine markante taktische Wende für ShinyHunters. Während der Jahre 2025 und Anfang 2026 verließ sich die Gruppe fast ausschließlich auf Identitätsmissbrauch – Vishing (Telefonbetrug), Social Engineering, Übernahmen von Okta-SSO-Konten und Missbrauch von OAuth-Tokens – um in Organisationen einzubrechen .

Berichte von Mandiant und der Google Threat Intelligence Group dokumentierten detailliert, wie ShinyHunters IT-Helpdesk-Mitarbeiter imitierte, Angestellte auf unternehmenseigene Phishing-Seiten lockte und so Single-Sign-On-Anmeldedaten sowie MFA-Codes erbeutete . Das Threat-Intelligence-Briefing von The Crosswalk stellte unmissverständlich fest, ShinyHunters nutze „fast nie Software-Schwachstellen“, sondern setze auf Helpdesk-Verifikation, Mitarbeiter-MFA und OAuth-Tokens von Drittanbieter-SaaS-Apps .

Die PeopleSoft-Angriffe brechen radikal mit diesem Muster. Sie setzen auf echte Software-Exploits – inklusive Zero-Days –, eine Vorgehensweise, die zuvor in ihren Operationen nicht beobachtet wurde .

Oracle und britische Behörden: Bislang kaum öffentliche Reaktion

Bis zum 10. Juni 2026 hatte Oracle keine öffentliche Stellungnahme oder Sicherheitswarnung speziell zu dieser PeopleSoft-Kampagne abgegeben. Es wurden keine Patches im Zusammenhang mit dieser Aktivität angekündigt oder bestätigt .

Auch britische Behörden – darunter das Information Commissioner's Office (ICO, die Datenschutzaufsichtsbehörde) und die Strafverfolgungsbehörden – haben sich bisher nicht öffentlich zu dem Vorfall geäußert. Die University of Nottingham managte ihre Reaktion intern, informierte die Studierenden direkt und nahm die betroffenen Systeme vorübergehend für Untersuchungen vom Netz .

Indikatoren für eine Kompromittierung: Was verfügbar ist

Die Sicherheits-Community hat bislang keine PeopleSoft-spezifischen Kompromittierungsindikatoren (IoCs) wie IP-Adressen oder Datei-Hashes zu dieser Kampagne veröffentlicht. Huntress publizierte ein allgemeineres Bedrohungsakteur-Profil mit Netzwerkindikatoren der ShinyHunters-Infrastruktur, diese beziehen sich jedoch auf frühere SaaS-Kampagnen und nicht spezifisch auf die PeopleSoft-Ausbeutung .

Das Crosswalk-Briefing merkt an, dass die typische Vorgehensweise von ShinyHunters – Identitätsmissbrauch – nur selten Software-spezifische IoCs produziert, was die Abwehrsuche nach dieser speziellen Kampagne zusätzlich erschwert .

ShinyHunters 2026: Eine brutale Eskalation der Massenerpressung

Die PeopleSoft-Kampagne ist nur der jüngste Akt in einem Jahr beispielloser, aggressiver Eskalation:

• Anfang 2026: Die AuraInspector-Kampagne nutzte Fehlkonfigurationen in Salesforce Experience Cloud aus; ShinyHunters beanspruchte fast 400 betroffene Organisationen .
• Februar 2026: Der Wynn-Resorts-Datenleck legte über 800.000 Mitarbeiterdaten offen; auch hier war der erste Zugang eine Oracle-PeopleSoft-Schwachstelle .
• April–Mai 2026: Der Canvas/Instructure-LMS-Angriff – der größte Datendiebstahl im Bildungssektor aller Zeiten – führte nach Angaben von ShinyHunters zu 275 Millionen gestohlenen Datensätzen über rund 8.000–9.000 Einrichtungen .
• Mai–Juni 2026: Der Charter-Communications-Datenleck legte 4,9 Millionen Kundendatensätze offen .
• Juni 2026: Die Oracle-PeopleSoft-Kampagne brachte über 100 weitere Organisationen und über 300 Instanzen zu Fall .

Der Verizon Data Breach Investigations Report 2026 bestätigt einen strukturellen Wandel: Erstmals in 19 Jahren überholte die Ausnutzung von Schwachstellen den Diebstahl von Zugangsdaten als häufigsten Einbruchsvektor . ShinyHunters’ Wechsel zu echten Exploit-Ketten – statt Identitätsmissbrauch – passt perfekt in diesen Trend und signalisiert, dass massenhafte Parallelkampagnen gegen weit verbreitete Unternehmensplattformen weiter zunehmen werden.

Für Universitäten ist die Lehre bitter. Dieselbe konsolidierte Software-Lieferkette, die Plattformen wie Canvas und PeopleSoft für Fernlehre und Verwaltung unverzichtbar machte, hat sie zu katastrophalen einzelnen Schwachstellen gemacht – sobald Angreifer eine ungepatchte Stelle finden, bricht das ganze Kartenhaus zusammen .