ShinyHunters richt pijlen op Oracle PeopleSoft: datadiefstal bij ruim 100 universiteiten

De groep maakte daarbij gebruik van een "gadget chain" – een combinatie van oudere, reeds bekende kwetsbaarheden gekoppeld aan zero-day-exploits in PeopleSoft . In hun communicatie met BleepingComputer verklaarden ze dat de aanval niet overal werkt; succes hangt af van hoe elke getroffen organisatie haar PeopleSoft-implementatie heeft geconfigureerd .

Het gehanteerde model is "betalen of lekken": als slachtoffers weigeren te betalen, wordt de gestolen data gepubliceerd op de lekwebsite van ShinyHunters .

De onderwijssector was het voornaamste doelwit

Universiteiten kregen de zwaarste klappen. ShinyHunters concentreerde zich sterk op instellingen voor hoger onderwijs, een patroon dat al zichtbaar was bij hun eerdere campagnes in 2026 tegen Canvas/Instructure en Salesforce Experience Cloud .

De University of Nottingham bevestigde dat zij was getroffen. De aanvallers infiltreerden eind mei 2026 in het Campus Solutions-studentenregistratiesysteem van de universiteit, dat draait op Oracle PeopleSoft . Een door ShinyHunters geplaatst datamonster omvatte gegevens van studenten, sollicitanten, studiefinanciering, immigratie- en gezondheidsdossiers, en administratieve bestanden . De bende claimde meer dan 40 GB aan gevoelige informatie te hebben gestolen, waaronder factuur- en betalingsgegevens, creditcarddetails, studiefinancieringsinformatie en exports van de campusportal – inclusief data van de campussen in het Verenigd Koninkrijk, Maleisië en China .

Van bellen naar hacken: een nieuwe werkwijze

De PeopleSoft-campagne markeert een belangrijke tactische draai voor ShinyHunters. Gedurende het grootste deel van 2025 en begin 2026 vertrouwde de groep vrijwel uitsluitend op identiteits- en toegangsmisbruik – denk aan voice phishing (vishing), social engineering, overname van Okta SSO-accounts en misbruik van OAuth-tokens – om organisaties binnen te dringen . Rapportages van Mandiant en de Google Threat Intelligence Group beschreven hoe ShinyHunters zich voordeden als IT-helpdeskmedewerkers, werknemers naar nagemaakte phishingpagina's met bedrijfshuisstijl stuurden en zo SSO-inloggegevens en MFA-codes wisten te stelen .

De threat intelligence-briefing van The Crosswalk stelde ronduit dat ShinyHunters "vrijwel nooit software-kwetsbaarheden misbruiken" en zich in plaats daarvan richten op helpdeskverificatie, MFA van medewerkers en OAuth-tokens van externe SaaS-applicaties . De PeopleSoft-aanvallen doorbreken dat patroon volledig: hier worden echte software-exploits – inclusief zero-days – gebruikt, iets wat niet eerder in hun operaties werd waargenomen .

Oracle en Britse autoriteiten reageren (nog) nauwelijks

Tot 10 juni 2026 had Oracle geen openbare verklaring of beveiligingsadvies uitgebracht specifiek over deze PeopleSoft-campagne. Er zijn geen patches aangekondigd of bevestigd die verband houden met deze activiteit .

Britse autoriteiten – waaronder de Information Commissioner's Office (ICO), de Britse privacytoezichthouder, en rechtshandhavingsinstanties – hadden nog geen specifieke openbare opmerkingen over het incident gemaakt. De University of Nottingham handelde de kwestie intern af door studenten rechtstreeks te informeren en de systemen tijdelijk offline te halen voor onderzoek .

Indicatoren van Compromis: wat is er beschikbaar?

De cybersecuritygemeenschap heeft nog geen specifieke Indicators of Compromise (IoC's) zoals IP-adressen of bestands-hashes gepubliceerd die direct aan deze campagne zijn gekoppeld. Huntress publiceerde een breder Threat Actor-profiel met netwerkindicatoren gelieerd aan ShinyHunters' infrastructuur, maar deze houden verband met SaaS-gerichte campagnes en niet specifiek met de PeopleSoft-exploitatie .

De Crosswalk-briefing merkt op dat ShinyHunters' typische werkwijze – identiteitsmisbruik – zelden software-specifieke IoC's oplevert, wat het jagen op deze specifieke campagne voor verdedigers extra lastig maakt .

De escalatie van ShinyHunters in 2026: een patroon van massa-afpersing

De PeopleSoft-campagne past in een meedogenloze escalatie over het hele jaar:

• Begin 2026: De AuraInspector-campagne buitte verkeerd geconfigureerde Salesforce Experience Cloud-omgevingen uit, waarbij ShinyHunters bijna 400 getroffen organisaties claimde .
• Februari 2026: Het datalek bij Wynn Resorts stelde meer dan 800.000 werknemersdossiers bloot; de initiële toegang werd eveneens gelinkt aan een Oracle PeopleSoft-kwetsbaarheid .
• April–mei 2026: Het Canvas/Instructure LMS-datalek – de grootste datadiefstal ooit in de onderwijssector – waarbij ShinyHunters 275 miljoen records claimde verdeeld over circa 8.000 tot 9.000 instellingen .
• Mei–juni 2026: Het datalek bij Charter Communications stelde 4,9 miljoen klantgegevens bloot .
• Juni 2026: De Oracle PeopleSoft-campagne voegde er nog eens meer dan 100 organisaties en 300 instanties aan toe .

Het jaarlijkse Verizon Data Breach Investigations Report (DBIR) over 2026 bevestigde een structurele verschuiving: voor het eerst in 19 jaar was het uitbuiten van kwetsbaarheden de belangrijkste aanvalsvector, en niet langer gestolen inloggegevens . ShinyHunters' draai naar daadwerkelijke exploitketens past in die bredere trend en geeft aan dat grootschalige parallelle campagnes tegen wijdverspreide bedrijfsplatformen zich vrijwel zeker zullen voortzetten.

Voor universiteiten is de les glashelder: dezelfde geconsolideerde software-toeleveringsketen die platforms als Canvas en PeopleSoft onmisbaar heeft gemaakt voor onderwijs en administratie, is ook een catastrofaal enkelvoudig faalpunt geworden zodra aanvallers een onbeschermde rafelrand vinden .