ShinyHunters Colpisce Ancora: Il Ransomware che ha Messo in Ginocchio le Università

Per portare a termine l'attacco, il gruppo ha impiegato una "catena di gadget" – una combinazione di vecchie vulnerabilità note, collegate tra loro e a nuovi exploit zero-day, specifica per PeopleSoft . Stando a quanto comunicato dagli stessi criminali a BleepingComputer, l'attacco non funziona in modo uniforme; il successo dipende da come ogni vittima ha configurato il proprio ambiente PeopleSoft .

Questo modello "paga o pubblica" significa che quando le vittime si rifiutano di pagare il riscatto, i dati rubati vengono pubblicati sul sito di leak di ShinyHunters sul dark web .

Il Bersaglio Principale: Il Settore dell'Istruzione

Le università hanno subito il peso maggiore dell'assalto. ShinyHunters si è concentrato in modo massiccio sugli istituti di istruzione superiore, proseguendo una tendenza già delineata nelle precedenti campagne del 2026 contro le piattaforme Canvas/Instructure e Salesforce Experience Cloud .

L'Università di Nottingham ha confermato di essere stata violata. Gli aggressori si sono infiltrati nel sistema di gestione delle carriere studentesche dell'ateneo – Campus Solutions, basato su Oracle PeopleSoft – alla fine di maggio 2026 . Un campione dei dati trafugati e pubblicati da ShinyHunters includeva informazioni su studenti, candidati, aiuti finanziari, pratiche di immigrazione, dati sanitari e registri amministrativi . Il gruppo ha affermato di aver rubato più di 40 GB di informazioni sensibili, tra cui dati di fatturazione e pagamento, dettagli di carte di credito, dati sulla finanza studentesca ed esportazioni dai portali dei campus che riguardano le sedi dell'università nel Regno Unito, in Malesia e in Cina .

Un Cambio di Tecnica: Dal Vishing agli Zero-Day

La campagna PeopleSoft rappresenta un cambiamento tattico fondamentale per ShinyHunters. Per la maggior parte del 2025 e dell'inizio del 2026, il gruppo si era affidato quasi esclusivamente all'abuso di identità e accessi – vishing, ingegneria sociale, compromissione di accessi SSO (Single Sign-On) Okta e uso improprio di token OAuth – per penetrare nelle organizzazioni . Documenti di Mandiant e del Google Threat Intelligence Group hanno descritto come ShinyHunters si spacciasse per personale del supporto IT, indirizzasse i dipendenti verso siti di phishing con il logo aziendale e rubasse credenziali di autenticazione unica e codici MFA (autenticazione a più fattori) .

Il briefing di threat intelligence di Crosswalk aveva affermato senza mezzi termini che ShinyHunters "non sfrutta quasi mai le vulnerabilità software", concentrandosi invece sulle procedure di verifica dell'helpdesk, sull'MFA dei dipendenti e sui token OAuth di applicazioni SaaS di terze parti . Gli attacchi a PeopleSoft rompono completamente questo schema, facendo uso di veri e propri exploit software – inclusi quelli zero-day –, un comportamento mai osservato prima nelle loro operazioni .

Oracle e le Autorità Britanniche: Una Risposta Pubblica Ancora Limitata

Al 10 giugno 2026, Oracle non aveva ancora rilasciato alcuna dichiarazione pubblica o avviso di sicurezza specifico per questa campagna PeopleSoft. Non sono state annunciate o confermate patch relative a questa attività .

Allo stesso modo, le autorità del Regno Unito – tra cui l'Information Commissioner's Office (ICO), l'equivalente del Garante per la privacy, e le forze dell'ordine – non avevano ancora rilasciato commenti pubblici sull'incidente. L'Università di Nottingham ha gestito la risposta internamente, informando direttamente gli studenti e mettendo temporaneamente fuori servizio i sistemi per le indagini .

Indicatori di Compromissione: Cosa è Disponibile

La comunità della sicurezza non ha ancora pubblicato in modo estensivo indicatori di compromissione (IoC) – come indirizzi IP o hash di file – specificamente legati a questa campagna PeopleSoft. Huntress ha pubblicato un profilo più ampio dell'attore della minaccia con indicatori di rete associati all'infrastruttura di ShinyHunters, ma questi sono relativi a campagne focalizzate su SaaS, non specificamente allo sfruttamento di PeopleSoft .

Il briefing di Crosswalk sottolinea che la tecnica tipica di ShinyHunters – l'abuso di identità – raramente produce IoC specifici per vulnerabilità software, rendendo la caccia alle minacce per questa specifica campagna più difficile per i difensori .

L'Escalation di ShinyHunters nel 2026: Uno Schema di Estorsione di Massa

La campagna PeopleSoft si inserisce in un anno di brutale escalation:

• Inizio 2026: La campagna AuraInspector ha sfruttato configurazioni errate di Salesforce Experience Cloud, con ShinyHunters che ha rivendicato quasi 400 organizzazioni colpite .
• Febbraio 2026: La violazione di Wynn Resorts ha esposto più di 800.000 dati di dipendenti. Anche in quel caso, l'accesso iniziale sarebbe stato ottenuto tramite una vulnerabilità in Oracle PeopleSoft .
• Aprile-Maggio 2026: La violazione della piattaforma LMS Canvas/Instructure – il più grande furto di dati mai avvenuto nel settore dell'istruzione – ha visto ShinyHunters rivendicare 275 milioni di record da circa 8.000-9.000 istituzioni .
• Maggio-Giugno 2026: La violazione di Charter Communications ha esposto 4,9 milioni di dati di clienti .
• Giugno 2026: La campagna Oracle PeopleSoft ha aggiunto altre 100 e più organizzazioni e oltre 300 istanze alla lista .

Il Rapporto sulle Indagini sulle Violazioni dei Dati (DBIR) 2026 di Verizon ha confermato un cambiamento strutturale: per la prima volta in 19 anni, lo sfruttamento delle vulnerabilità ha superato il furto di credenziali come principale vettore di violazione . Il passaggio di ShinyHunters a vere e proprie catene di exploit – piuttosto che all'abuso di identità – è in linea con questa tendenza più ampia e segnala che le campagne massicce e parallele contro piattaforme aziendali ampiamente diffuse probabilmente continueranno.

Per le università, la lezione è dura. La stessa catena di fornitura del software consolidato che ha reso piattaforme come Canvas e PeopleSoft essenziali per l'apprendimento e l'amministrazione a distanza, le ha anche trasformate in catastrofici punti di cedimento quando un aggressore trova un punto debole non corretto .