ShinyHunters Eksploitasi Masif Zero-Day Oracle PeopleSoft Serang Lebih dari 100 Organisasi

Kampanye ShinyHunters: Skala dan Target

Investigasi Google mengungkap operasi yang luas dan terfokus. ShinyHunters mengkompromikan sekitar 300 server PeopleSoft berbeda yang tersebar di lebih dari 100 organisasi secara global . GTIG mengambil langkah proaktif dengan memberi tahu lebih dari 100 organisasi yang terpapar ini selama jendela eksploitasi aktif .

Kampanye ini menunjukkan pola target yang jelas. 68% dari korban yang diketahui adalah entitas di sektor pendidikan tinggi, terutama perguruan tinggi dan universitas, dengan mayoritas berbasis di Amerika Serikat .

Untuk menjaga persistensi dan kendali, para penyerang menyebarkan agen manajemen jarak jauh MeshCentral, namun menyamarkan nama file sebagai layanan Microsoft Azure yang sah menggunakan nama seperti meshagent64-azure-ops.exe. Infrastruktur komando dan kendali mereka lebih lanjut meniru Azure dengan menggunakan domain azurenetfiles.net . Data yang dicuri kemudian dipublikasikan di Situs Bocoran Data ShinyHunters pada 9 Juni 2026 .

University of Nottingham: Studi Kasus Dampak

University of Nottingham menjadi korban pertama yang dikonfirmasi secara publik, memberikan ilustrasi nyata tentang konsekuensi pembobolan ini. Universitas mengakui insiden siber yang memengaruhi sistem catatan mahasiswanya, mengonfirmasi bahwa sejumlah besar data, total puluhan gigabyte, telah diakses .

Laporan dari berbagai sumber menunjukkan bahwa antara 454.600 hingga 500.000 catatan pribadi dan akademik milik mahasiswa aktif dan alumni telah dicuri . Data yang dikompromikan terutama terdiri dari catatan mahasiswa dan alumni, tetapi pihak universitas mencatat bahwa detail bank staf dan data penelitian tidak termasuk dalam pembobolan ini . Data yang dicuri, termasuk alamat rumah, nomor telepon, dan tanggal lahir, dengan cepat dipublikasikan di situs bocoran ShinyHunters dan diindeks oleh layanan pemeriksaan "Have I Been Pwned" .

Mitigasi Segera Tanpa Tambalan

Sembari Oracle menerbitkan peringatan keamanan di luar jadwal pada 10 Juni 2026, panduan awal terdiri dari solusi sementara, bukan perbaikan perangkat lunak sepenuhnya. Blog intelijen ancaman Google, selaras dengan imbauan Oracle, merekomendasikan langkah-langkah segera berikut untuk melindungi server PeopleSoft yang rentan :

1. Nonaktifkan atau Hapus Layanan EMHub: Dalam konfigurasi multi-server, organisasi harus menonaktifkan Environment Management Hub Service. Untuk penerapan server tunggal, rekomendasinya adalah menghapus sepenuhnya aplikasi PSEMHUB .
2. Blokir Akses Eksternal di Perimeter: Batasi akses ke endpoint yang dieksploitasi, khususnya /PSEMHUB/* dan /PSIGW/HttpListeningConnector, menggunakan firewall jaringan atau daftar kontrol akses .
3. Audit Log Akses: Tim keamanan harus segera memeriksa log akses PIA WebLogic untuk setiap permintaan POST ke /PSEMHUB/hub dan /PSIGW/HttpListeningConnector yang berasal dari alamat IP eksternal untuk mengidentifikasi kompromi historis .
4. Cari Web Shell: Periksa sistem file PeopleSoft untuk file .jsp tak terduga yang mungkin ditanam oleh penyerang, khususnya di jalur /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Pantau Indikator Kompromi (IOC): Pantau keberadaan direktori mencurigakan bernama logs, persistantstorage, atau scratchpad di dalam jalur PSEMHUB. Selain itu, periksa dengan cermat setiap lalu lintas SMB keluar dari server PeopleSoft, yang dapat mengindikasikan eksfiltrasi data .

Langkah-langkah ini adalah tindakan darurat yang kritis. Organisasi yang menjalankan PeopleTools versi 8.61 dan 8.62 harus memprioritaskan penerapan pembaruan keamanan di luar jadwal resmi Oracle saat tersedia untuk sepenuhnya memulihkan risiko eksploitasi lebih lanjut .