ShinyHunters explota fallo de día cero en Oracle PeopleSoft: más de 100 organizaciones vulneradas, el sector educativo el más afectado

Campaña de ShinyHunters: escala y objetivos

La investigación de Google reveló una operación amplia y focalizada. ShinyHunters comprometió aproximadamente 300 instancias distintas de PeopleSoft repartidas en más de 100 organizaciones a nivel global . El GTIG tomó la iniciativa de notificar de forma proactiva a más de 100 de estas organizaciones expuestas durante la ventana de explotación activa .

La campaña mostró un patrón de objetivos muy claro. El 68 % de las víctimas conocidas pertenecían al sector de la educación superior, principalmente universidades (colleges y universidades), con la mayoría de ellas ubicadas en Estados Unidos .

Para mantener la persistencia en los sistemas y el control, los atacantes desplegaron agentes de administración remota MeshCentral, pero disfrazaron los nombres de los archivos como servicios legítimos de Microsoft Azure, usando nombres como meshagent64-azure-ops.exe. La infraestructura de mando y control imitaba aún más a Azure al usar el dominio azurenetfiles.net . Los datos robados se publicaron posteriormente en el Sitio de Filtración de Datos de ShinyHunters (DLS, por sus siglas en inglés) el 9 de junio de 2026 .

Universidad de Nottingham: un caso de estudio del impacto

La Universidad de Nottingham se convirtió en la primera víctima confirmada públicamente, ofreciendo una ilustración descarnada de las consecuencias de la brecha. La universidad reconoció un incidente cibernético que afectó a su sistema de registros de estudiantes, confirmando que se había accedido a una cantidad significativa de datos, que totalizaba decenas de gigabytes .

Informes de múltiples fuentes indican que se robaron entre 454 600 y 500 000 registros personales y académicos pertenecientes a estudiantes y exalumnos . Los datos comprometidos consistían principalmente en registros de estudiantes y exalumnos, pero la universidad señaló que los datos bancarios del personal y los datos de investigación no formaron parte de la brecha . Los datos robados, que incluían detalles como direcciones de domicilio, números de teléfono y fechas de nacimiento, se publicaron rápidamente en el sitio de filtraciones de ShinyHunters y fueron indexados por “Have I Been Pwned” (un sitio que permite verificar si tu información personal se ha visto comprometida en filtraciones de datos) .

Mitigaciones inmediatas sin un parche

Si bien Oracle emitió una alerta de seguridad fuera de banda el 10 de junio de 2026, la guía inicial consistía en soluciones provisionales en lugar de una corrección de software completa. El blog de inteligencia de amenazas de Google, en línea con el aviso de Oracle, recomienda a las organizaciones tomar las siguientes medidas inmediatas para proteger las instancias vulnerables de PeopleSoft :

1. Deshabilitar o eliminar el servicio EMHub: En configuraciones de múltiples servidores, las organizaciones deben deshabilitar el Servicio Environment Management Hub. Para implementaciones de servidor único, la recomendación es eliminar por completo la aplicación PSEMHUB .
2. Bloquear el acceso externo en el perímetro de red: Restringir el acceso a los endpoints explotados, específicamente /PSEMHUB/* y /PSIGW/HttpListeningConnector, utilizando firewalls de red o listas de control de acceso .
3. Auditar los registros de acceso: Los equipos de seguridad deben revisar de inmediato los registros de acceso de PIA WebLogic en busca de cualquier solicitud POST a /PSEMHUB/hub y /PSIGW/HttpListeningConnector que se origine desde direcciones IP externas para identificar compromisos históricos .
4. Buscar shells web: Inspeccionar el sistema de archivos de PeopleSoft en busca de archivos .jsp inesperados que un atacante pudiera haber plantado, particularmente bajo la ruta /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Monitorear indicadores de compromiso (IOC): Vigilar la presencia de directorios sospechosos con nombres como logs, persistantstorage o scratchpad dentro de las rutas de PSEMHUB. Además, se debe examinar cualquier tráfico SMB saliente desde los servidores de PeopleSoft, lo que podría indicar la extracción de datos .

Estos pasos son medidas de contención críticas. Las organizaciones que ejecutan las versiones 8.61 y 8.62 de PeopleTools deben priorizar la aplicación de la actualización de seguridad oficial fuera de banda de Oracle cuando esté disponible para remediar por completo el riesgo de una mayor explotación .