Kumpulan Siber ShinyHunters Eksploitasi Kelemahan Zero-Day Oracle PeopleSoft, Serang Ratusan Universiti

Kumpulan ini menggunakan "rantai gajet" (gadget chain)—gabungan kelemahan lama yang telah diketahui dirantai bersama dengan eksploitasi zero-day dalam PeopleSoft . Menurut komunikasi mereka dengan BleepingComputer, serangan ini tidak berfungsi secara seragam; kejayaannya bergantung kepada bagaimana setiap sasaran mengkonfigurasi perlaksanaan PeopleSoft mereka .

Model 'bayar-atau-bocor' ini bermaksud apabila mangsa enggan membayar, data yang dicuri akan diterbitkan di laman sesawang kebocoran ShinyHunters .

Sektor Pendidikan Menjadi Sasaran Utama

Universiti menanggung beban paling teruk dalam serangan ini. ShinyHunters menumpukan perhatian secara besar-besaran kepada institusi pengajian tinggi, meneruskan corak yang telah dibuat dalam kempen awal 2026 mereka terhadap Canvas/Instructure dan Salesforce Experience Cloud .

University of Nottingham mengesahkan telah digodam. Penyerang menyusup masuk ke dalam sistem rekod pelajar universiti iaitu Campus Solutions—yang dikuasakan oleh Oracle PeopleSoft—pada penghujung Mei 2026 . Sampel data yang dicuri dan dipaparkan oleh ShinyHunters termasuk rekod pelajar, pemohon, bantuan kewangan, imigresen, kesihatan, dan pentadbiran . Kumpulan itu mendakwa telah mencuri lebih daripada 40 GB maklumat sensitif, termasuk rekod bil dan pembayaran, butiran kad kredit, data kewangan pelajar, dan eksport portal kampus yang merangkumi kampus Nottingham di UK, Malaysia, dan China .

Perubahan Taktik: Dari Pancingan Suara ke Zero-Day

Kempen PeopleSoft menandakan perubahan taktikal yang ketara bagi ShinyHunters. Untuk sebahagian besar tahun 2025 dan awal 2026, kumpulan ini bergantung hampir sepenuhnya pada penyalahgunaan identiti dan akses—pancingan suara (vishing), kejuruteraan sosial, pengambilalihan akaun Okta SSO, dan penyalahgunaan token OAuth—untuk menceroboh organisasi . Laporan oleh Mandiant dan Kumpulan Perisikan Ancaman Google mendokumentasikan bagaimana ShinyHunters menyamar sebagai kakitangan meja bantuan IT, mengarahkan pekerja ke laman pancingan data yang menyerupai jenama syarikat, dan mencuri kelayakan log masuk tunggal (SSO) serta kod MFA .

Taklimat perisikan ancaman Crosswalk secara terus-terang menyatakan bahawa ShinyHunters "hampir tidak pernah mengeksploitasi kelemahan perisian" dan sebaliknya fokus pada pengesahan meja bantuan, MFA pekerja, dan token OAuth SaaS pihak ketiga . Serangan PeopleSoft benar-benar menyimpang daripada acuan itu, menggunakan eksploitasi perisian tulen—termasuk zero-day—sesuatu yang tidak pernah dilihat sebelum ini dalam operasi mereka .

Oracle dan Pihak Berkuasa UK: Maklum Balas Awam yang Terhad Setakat Ini

Setakat 10 Jun 2026, Oracle belum mengeluarkan sebarang kenyataan awam atau nasihat keselamatan yang secara khusus menangani kempen PeopleSoft ini. Tiada sebarang tampalan perisian yang berkaitan dengan aktiviti ini telah diumumkan atau disahkan .

Pihak berkuasa UK—termasuk Pejabat Pesuruhjaya Maklumat (ICO) dan penguatkuasa undang-undang—belum membuat sebarang komen awam yang spesifik mengenai insiden ini. University of Nottingham menguruskan tindak balasnya secara dalaman, memaklumkan pelajar secara langsung dan mengambil sistem di luar talian buat sementara waktu untuk siasatan .

Penunjuk Kompromi (IoC): Apa Yang Tersedia

Komuniti keselamatan belum menerbitkan secara meluas penunjuk kompromi (IoC) khusus PeopleSoft seperti alamat IP atau cincangan fail yang berkaitan dengan kempen ini. Huntress menerbitkan Profil Pelaku Ancaman yang lebih luas dengan penunjuk rangkaian yang dikaitkan dengan infrastruktur ShinyHunters, tetapi itu berkaitan dengan kempen berfokuskan SaaS, bukan eksploitasi PeopleSoft secara khusus .

Taklimat Crosswalk menyatakan bahawa taktik biasa ShinyHunters—penyalahgunaan identiti—jarang menghasilkan IoC khusus kelemahan perisian, menjadikan pemburuan pertahanan untuk kempen khusus ini lebih sukar .

Eskalasi ShinyHunters 2026: Corak Pemerasan Besar-besaran

Kempen PeopleSoft melengkapi satu tahun eskalasi yang dahsyat:

• Awal 2026: Kempen AuraInspector mengeksploitasi salah konfigurasi pada sistem Salesforce Experience Cloud, dengan ShinyHunters mendakwa hampir 400 organisasi terjejas .
• Februari 2026: Pelanggaran data Wynn Resorts mendedahkan lebih 800,000 rekod pekerja, dengan akses awal juga dikaitkan dengan kelemahan Oracle PeopleSoft .
• April–Mei 2026: Pelanggaran data Canvas/Instructure LMS—kecurian data sektor pendidikan terbesar pernah berlaku—menyaksikan ShinyHunters mendakwa 275 juta rekod merentasi kira-kira 8,000–9,000 institusi .
• Mei–Jun 2026: Pelanggaran data Charter Communications mendedahkan 4.9 juta rekod pelanggan .
• Jun 2026: Kempen Oracle PeopleSoft menambah lebih 100 organisasi dan 300 sistem lagi .

Laporan Siasatan Pelanggaran Data 2026 oleh Verizon mengesahkan satu anjakan struktur: eksploitasi kelemahan buat pertama kali dalam 19 tahun mengatasi kelayakan yang dicuri sebagai vektor pelanggaran utama . Peralihan ShinyHunters ke dalam rantaian eksploitasi sebenar—bukannya penyalahgunaan identiti—sejajar dengan trend yang lebih luas itu dan memberi isyarat bahawa kempen selari besar-besaran terhadap platform perusahaan yang digunakan secara meluas berkemungkinan akan berterusan.

Bagi universiti, pengajarannya sangat jelas. Rantaian bekalan perisian yang disatukan yang menjadikan platform seperti Canvas dan PeopleSoft penting untuk pembelajaran dan pentadbiran jarak jauh juga telah menjadikannya titik kegagalan tunggal yang malapetaka apabila penyerang menemui kelemahan yang belum ditampal .