Geng ShinyHunters Manfaatkan Celah Zero-Day Oracle PeopleSoft, 100+ Universitas Jadi Korban Pembobolan Data

Kelompok ini disebut menggunakan "rantai gadget"—sebuah kombinasi kerentanan lama yang sudah diketahui, dirangkai dengan eksploitasi celah keamanan baru (zero-day) di PeopleSoft . Menurut komunikasi mereka dengan situs BleepingComputer, serangan ini tidak bekerja secara seragam; keberhasilannya bergantung pada bagaimana korban mengonfigurasi sistem PeopleSoft mereka masing-masing .

ShinyHunters menjalankan model "bayar atau bocor" (pay-or-leak): ketika korban menolak membayar uang tebusan, data curian akan dipublikasikan di situs bocoran (leak site) milik mereka .

Sektor Pendidikan Jadi Sasaran Utama

Universitas menanggung dampak terbesar dari serangan ini. ShinyHunters berkonsentrasi besar-besaran pada institusi pendidikan tinggi, melanjutkan pola yang sudah terbentuk di kampanye-kampanye mereka sebelumnya di tahun 2026 yang menargetkan platform Canvas/Instructure dan Salesforce Experience Cloud .

Universitas Nottingham mengonfirmasi telah menjadi korban pembobolan. Para penyerang menyusup ke sistem catatan mahasiswa Campus Solutions—yang didukung oleh Oracle PeopleSoft—pada akhir Mei 2026 . Sampel data yang dipamerkan oleh ShinyHunters mencakup data mahasiswa, pelamar, bantuan keuangan, imigrasi, kesehatan, dan data administratif . Geng ini mengklaim telah mencuri lebih dari 40 GB informasi sensitif, termasuk catatan penagihan dan pembayaran, detail kartu kredit, data keuangan mahasiswa, dan ekspor portal kampus yang mencakup kampus-kampus Universitas Nottingham di Inggris, Malaysia, dan China .

Perubahan Taktik: Dari Phishing Suara ke Eksploitasi Zero-Day

Kampanye PeopleSoft menandai perubahan taktis yang signifikan bagi ShinyHunters. Sepanjang sebagian besar tahun 2025 dan awal 2026, kelompok ini hampir secara eksklusif mengandalkan penyalahgunaan identitas dan akses—seperti vishing (voice phishing atau penipuan lewat telepon), rekayasa sosial, pembajakan akun Okta (sebuah platform Single Sign-On), dan penyalahgunaan token OAuth—untuk membobol organisasi . Laporan dari Mandiant dan Google Threat Intelligence Group mendokumentasikan bagaimana ShinyHunters menyamar sebagai staf meja bantuan TI, mengarahkan karyawan ke situs phishing bermerek perusahaan, dan mencuri kredensial Single Sign-On (SSO) serta kode autentikasi multi-faktor (MFA) .

Brifing intelijen ancaman The Crosswalk secara blak-blakan menyatakan bahwa ShinyHunters "hampir tidak pernah mengeksploitasi kerentanan perangkat lunak" dan justru berfokus pada verifikasi meja bantuan, MFA karyawan, dan token OAuth dari aplikasi SaaS pihak ketiga . Serangan PeopleSoft kali ini benar-benar di luar kebiasaan, menggunakan eksploitasi perangkat lunak asli—termasuk zero-day—sesuatu yang belum pernah terlihat sebelumnya dalam operasi mereka .

Respons Oracle dan Otoritas Inggris: Minim Tindak Lanjut Publik

Per 10 Juni 2026, Oracle belum mengeluarkan pernyataan publik atau imbauan keamanan yang secara spesifik menangani kampanye PeopleSoft ini. Belum ada tambalan (patch) keamanan yang terkait dengan aktivitas ini yang diumumkan atau dikonfirmasi .

Otoritas Inggris—termasuk Information Commissioner's Office (ICO, lembaga pengawas data pribadi) dan penegak hukum—belum membuat komentar publik spesifik tentang insiden ini. Universitas Nottingham menangani responsnya secara internal, memberi tahu para mahasiswanya secara langsung dan untuk sementara menonaktifkan sistem yang terdampak guna investigasi .

Indikator Kompromi: Apa yang Tersedia?

Komunitas keamanan siber belum secara luas menerbitkan Indikator Kompromi (IoCs) spesifik untuk PeopleSoft ini, seperti alamat IP atau hash file yang terkait dengan kampanye. Perusahaan keamanan Huntress menerbitkan Profil Aktor Ancaman yang lebih luas dengan indikator jaringan yang terkait dengan infrastruktur ShinyHunters, tetapi itu terkait dengan kampanye berbasis SaaS, bukan eksploitasi PeopleSoft secara spesifik .

Brifing The Crosswalk mencatat bahwa taktik khas ShinyHunters—penyalahgunaan identitas—jarang menghasilkan IoC yang spesifik untuk kerentanan perangkat lunak, sehingga perburuan defensif untuk kampanye khusus ini menjadi lebih sulit .

Eskalasi ShinyHunters di 2026: Pola Pemerasan Massal

Kampanye PeopleSoft ini adalah bagian dari eskalasi brutal sepanjang tahun yang mencakup:

• Awal 2026: Kampanye AuraInspector mengeksploitasi salah konfigurasi di instance Salesforce Experience Cloud, dengan ShinyHunters mengklaim hampir 400 organisasi terdampak .
• Februari 2026: Pembobolan data Wynn Resorts mengekspos lebih dari 800.000 catatan karyawan, dengan akses awal juga dikaitkan dengan kerentanan Oracle PeopleSoft .
• April–Mei 2026: Pembobolan Canvas/Instructure LMS—pencurian data sektor pendidikan terbesar yang pernah ada—menyebabkan ShinyHunters mengklaim 275 juta catatan dari sekitar 8.000–9.000 institusi .
• Mei–Juni 2026: Pembobolan data Charter Communications mengekspos 4,9 juta catatan pelanggan .
• Juni 2026: Kampanye Oracle PeopleSoft menambah lebih dari 100 organisasi dan 300+ instance lainnya .

Laporan Investigasi Pembobolan Data (DBIR) 2026 dari Verizon mengonfirmasi adanya pergeseran struktural: eksploitasi kerentanan untuk pertama kalinya dalam 19 tahun menggeser penggunaan kredensial curian sebagai vektor pembobolan utama . Perubahan haluan ShinyHunters ke rantai eksploitasi yang sebenarnya—bukan hanya penyalahgunaan identitas—sejalan dengan tren yang lebih luas ini dan memberi sinyal bahwa kampanye massal-paralel terhadap platform perusahaan yang digunakan luas kemungkinan akan terus berlanjut.

Bagi universitas, pelajarannya sangat jelas. Rantai pasok perangkat lunak yang terkonsolidasi—yang membuat platform seperti Canvas dan PeopleSoft sangat esensial untuk pembelajaran jarak jauh dan administrasi—telah menjadikannya titik kegagalan tunggal yang katastropik ketika penyerang menemukan celah yang belum ditambal .