ShinyHunters explota fallo crítico en Oracle PeopleSoft: más de 100 organizaciones vulneradas en campaña de extorsión masiva

Oracle atribuyó el mérito de reportar la vulnerabilidad a investigadores de TrendAI Zero Day Initiative y TrendAI Research . La combinación crítica de un vector de ataque basado en red, baja complejidad, falta de autenticación y ausencia de interacción del usuario convirtió esta vulnerabilidad en un objetivo principal para la explotación masiva en cuanto los atacantes tuvieron conocimiento de ella.

Cómo se desarrolló el ataque: Una cronología pre-parche

Google Mandiant atribuyó la campaña al grupo que rastrea como UNC6240, conocido públicamente como ShinyHunters. Mandiant fechó la ventana de explotación activa desde el 27 de mayo de 2026 hasta el 9 de junio de 2026 .

Debido a que Oracle no publicó su aviso de seguridad ni lanzó un parche hasta el 10 de junio de 2026, la vulnerabilidad permaneció como un día cero durante todo el período de explotación activa . Durante esa ventana, los atacantes escanearon Internet en busca de instancias de PeopleSoft expuestas y utilizaron CVE-2026-35273 para obtener un punto de apoyo inicial en los servidores sin parchear.

Una vez dentro, el grupo se movió lateralmente a través de los entornos comprometidos. Investigadores de seguridad de Field Effect notaron que los atacantes combinaron CVE-2026-35273 con técnicas basadas en credenciales y posiblemente otras vulnerabilidades para maximizar la escala del compromiso y localizar almacenes de datos valiosos . Este enfoque de múltiples etapas permitió a ShinyHunters extraer muchos más datos de los que produciría una simple explotación rápida.

Después de extraer los datos, el grupo siguió su manual establecido: exigieron un pago a las víctimas, amenazando con publicar la información robada si no se cumplían sus demandas . Esta táctica de extorsión como primera opción, en lugar del despliegue de ransomware, es una seña de identidad de las operaciones de ShinyHunters.

¿Qué datos fueron robados?

Los datos robados variaron según la organización víctima, pero varias categorías de alto valor se repitieron en las instancias vulneradas:

• Información Personal Identificable (PII) de estudiantes, profesores y personal administrativo .
• Expedientes académicos, datos de matrícula e información de ayuda financiera, lo que refleja la alta concentración de víctimas en el sector educativo .
• Datos de RR. HH. y nómina de implementaciones empresariales de PeopleSoft, incluyendo beneficios e información salarial .
• Archivos de configuración del sistema interno y credenciales que los atacantes utilizaron para moverse lateralmente dentro de los entornos comprometidos .

La amplitud de los datos robados refleja el papel de PeopleSoft como un sistema ERP centralizado que agrega registros confidenciales de RR. HH., finanzas y operaciones del campus . Un solo incidente de seguridad puede exponer años de datos personales e institucionales.

La respuesta fuera de ciclo de Oracle

El 10 de junio de 2026, Oracle rompió su ciclo regular de parches trimestrales y publicó una alerta de seguridad fuera de ciclo para CVE-2026-35273 . La compañía lanzó parches para PeopleTools 8.61 y 8.62 el mismo día, un movimiento inusualmente urgente que destacó la explotación activa y generalizada .

El aviso de Oracle fue directo: "Esta vulnerabilidad es explotable de forma remota sin autenticación. Si se explota con éxito, puede resultar en la ejecución remota de código" . La empresa instó a todos los clientes a aplicar el parche como una "medida de reducción de riesgos de alta prioridad" .

CISA hace sonar la alarma

Dos días después del aviso de Oracle, el 12 de junio de 2026, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) añadió CVE-2026-35273 a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) . Esta adición activó plazos de parcheo obligatorios para las agencias federales de EE. UU. y sirvió como una fuerte señal para todas las organizaciones, públicas y privadas, de que la falla estaba bajo ataque activo y generalizado.

El Centro Canadiense para la Ciberseguridad también emitió el aviso AV26-587 el 11 de junio, advirtiendo sobre la explotación activa y dirigiendo a los administradores a la guía de Oracle de inmediato . La respuesta coordinada de los gobiernos reflejó la gravedad y escala del incidente.

Pasos de mitigación urgentes

Basándose en la guía de Oracle, CISA, Rapid7 y otros proveedores de seguridad, las organizaciones que ejecutan PeopleSoft deben tomar estas acciones sin demora:

1. Aplicar el parche fuera de ciclo de Oracle para PeopleTools 8.61 y 8.62 inmediatamente .
2. Verificar versiones no soportadas. Si se ejecuta una versión fuera del alcance del parche, planificar una actualización de emergencia a una versión con soporte antes de parchear.
3. Realizar una revisión forense de los servidores de aplicaciones y bases de datos de PeopleSoft en busca de señales de webshells, scripts no autorizados o herramientas de volcado de credenciales .
4. Rotar todas las credenciales almacenadas o accesibles desde los entornos de PeopleSoft, incluidas las cuentas de servicio y las cadenas de conexión a la base de datos .
5. Restringir el acceso a la red a las interfaces HTTP/HTTPS de PeopleSoft (puertos 80 y 443) desde Internet siempre que sea posible, o colocarlas detrás de una VPN .
6. Monitorear transferencias de datos salientes anómalas originadas en servidores PeopleSoft; las transferencias grandes a direcciones IP externas desconocidas son un fuerte indicador de exfiltración .

Indicadores de Compromiso (IoCs)

Los IoCs publicados aún están evolucionando a medida que las investigaciones continúan. Sin embargo, varias categorías de indicadores han surgido de los primeros informes:

• Solicitudes HTTP no autorizadas dirigidas al endpoint de Updates Environment Management dentro de PeopleTools .
• Webshells o archivos de script inesperados que aparecen en los servidores de aplicaciones de PeopleSoft .
• Eventos de autenticación inusuales desde direcciones IP desconocidas o cuentas de servicio que rara vez inician sesión .
• Grandes transferencias de datos salientes desde servidores de bases de datos de PeopleSoft hacia destinos externos .
• Cuentas de servicio o tareas programadas recién creadas en servidores comprometidos .

También se han publicado direcciones IP específicas controladas por atacantes; por ejemplo, Pathlock informó conexiones desde 142.11.200.186–190, 108.174.202.99 y 176.120.22.24, así como un archivo de rescate llamado README-IF-... que las organizaciones deberían buscar en sus registros de PeopleSoft .

ShinyHunters y el sector educativo: Un patrón recurrente

La campaña contra Oracle PeopleSoft no es un caso atípico para ShinyHunters. El grupo tiene una preferencia bien documentada por los objetivos educativos, impulsada por varios factores estratégicos:

• Conjuntos de datos ricos y agregados. Las universidades y colegios gestionan enormes implementaciones de PeopleSoft que consolidan décadas de registros personales, académicos y financieros de cientos de miles de individuos .
• Ciclos de parcheo lentos. Las instituciones de educación superior suelen ejecutar entornos de PeopleSoft altamente personalizados con ciclos de actualización inconsistentes y retrasados, lo que las convierte en blancos fáciles para cualquier vulnerabilidad que se convierta en arma .
• Extorsión, no ransomware. ShinyHunters se centra en el robo de datos y la extorsión en lugar de desplegar ransomware, un modelo que genera altos rendimientos cuando los datos robados son lo suficientemente sensibles como para exigir un pago .
• Escaneo oportunista masivo. El grupo escanea ampliamente sectores enteros en lugar de señalar objetivos individuales de alto valor, una técnica que maximiza su huella cada vez que surge una vulnerabilidad crítica como CVE-2026-35273 .

La campaña de junio de 2026 sigue a ataques anteriores de ShinyHunters contra universidades y plataformas de tecnología educativa, donde el grupo robó millones de registros y los vendió en foros de la dark web. La combinación de una falla de ejecución remota de código de día cero en PeopleTools y un sector víctima con brechas de seguridad persistentes resultó devastadoramente efectiva.

Para las organizaciones que aún evalúan su exposición, la prioridad inmediata es aplicar el parche. Más allá de eso, el incidente sirve como un recordatorio de que las plataformas ERP a gran escala requieren las mismas defensas en capas, monitoreo y capacidad de respuesta rápida que cualquier servicio crítico expuesto a Internet.