ShinyHunters valt ruim 100 organisaties aan via Zero-Day in Oracle PeopleSoft

Oracle heeft beveiligingsonderzoekers van TrendAI Zero Day Initiative en TrendAI Research gecrediteerd voor het melden van de kwetsbaarheid . De fatale combinatie van een aanval via het netwerk, lage complexiteit, geen benodigde inlog en geen gebruikersinteractie maakte dit een uitgelezen doelwit voor massa-aanvallen zodra het lek bekend was bij cybercriminelen.

Het aanvalsverloop: Een tijdlijn vóór de patch

Mandiant, onderdeel van Google, schrijft de campagne toe aan een groep die zij volgt als UNC6240, beter bekend als ShinyHunters. De actieve uitbuiting vond plaats van 27 mei tot en met 9 juni 2026 .

Omdat Oracle pas op 10 juni 2026 een beveiligingsadvies en patch publiceerde, bleef de kwetsbaarheid al die tijd een zero-day . In die periode scanden de aanvallers het internet op kwetsbare PeopleSoft-servers en gebruikten CVE-2026-35273 voor een eerste toegang .

Eenmaal binnen bewogen de aanvallers zich zijwaarts door de netwerken. Onderzoekers van Field Effect constateerden dat ShinyHunters de zero-day combineerde met gestolen inloggegevens en mogelijk nog andere kwetsbaarheden om de hack te maximaliseren en de meest waardevolle data te lokaliseren . Deze meerfasenaanpak leverde veel meer buit op dan een simpele 'smash-and-grab'.

Na de datadiefstal volgde het bekende stramien: de groep eiste betaling van slachtoffers en dreigde de gestolen informatie openbaar te maken als er niet werd betaald . Deze prioriteit op afpersing in plaats van het inzetten van ransomware is een kenmerk van ShinyHunters.

Wat voor data is er gestolen?

De gestolen data verschilt per slachtoffer, maar enkele hoogwaardige categorieën kwamen herhaaldelijk terug:

• Persoonlijk identificeerbare informatie (PII) van studenten, docenten en medewerkers .
• Academische dossiers, inschrijvingsgegevens en informatie over studiefinanciering, passend bij het hoge aantal getroffen onderwijsinstellingen .
• HR- en salarisgegevens uit zakelijke PeopleSoft-omgevingen, inclusief secundaire arbeidsvoorwaarden .
• Interne systeemconfiguraties en inloggegevens die de aanvallers gebruikten voor de zijwaartse beweging binnen netwerken .

De reikwijdte van de buit weerspiegelt de rol van PeopleSoft als een centrale ERP-applicatie die gevoelige gegevens uit HR, financiën en alle bedrijfsprocessen samenbrengt . Eén geslaagde inbraak kan jaren aan persoonlijke en institutionele informatie blootleggen.

Oracle's reactie: Een spoedpatch buiten de normale cyclus

Op 10 juni 2026 doorbrak Oracle zijn normale kwartaalupdatecyclus en publiceerde een noodbeveiligingsadvies voor CVE-2026-35273 . Op dezelfde dag kwamen er patches beschikbaar voor PeopleTools 8.61 en 8.62. Deze ongebruikelijk urgente stap onderstreepte de actieve, wijdverspreide dreiging .

Oracle was helder in haar waarschuwing: "Er kan op afstand misbruik van deze kwetsbaarheid worden gemaakt, zonder authenticatie. Een succesvolle aanval kan leiden tot het uitvoeren van code op afstand." Het bedrijf drong er bij alle klanten op aan de patch met de hoogste prioriteit te installeren als risico-beperkende maatregel .

De alarmfase: Ook het NCSC en CISA springen bij

Twee dagen na het advies van Oracle, op 12 juni 2026, voegde CISA—de Amerikaanse evenknie van het Nederlandse Nationaal Cyber Security Centrum (NCSC)—de kwetsbaarheid toe aan de Known Exploited Vulnerabilities (KEV)-catalogus . Deze toevoeging betekent een dwingende patchtijdlijn voor Amerikaanse federale agentschappen, maar dient ook als een krachtig signaal naar alle publieke en private organisaties dat er actief grootschalig misbruik wordt gemaakt van dit lek. Ook het Canadese Cyber Centre bracht op 11 juni een waarschuwing uit en verwees beheerders direct door naar de richtlijnen van Oracle . De gecoördineerde reactie van overheden weerspiegelt de ernst en omvang van het incident.

Urgente stappen voor getroffen systemen

Op basis van de adviezen van Oracle, CISA, Rapid7 en andere beveiligingsbedrijven, moeten organisaties met PeopleSoft deze stappen onverwijld nemen:

1. Installeer onmiddellijk de noodpatch van Oracle voor PeopleTools 8.61 en 8.62 .
2. Controleer op niet-ondersteunde versies. Als u een versie gebruikt die buiten de geboden ondersteuning valt, plan dan een noodupgrade naar een ondersteunde versie voordat u de patch installeert.
3. Voer een forensisch onderzoek uit op de PeopleSoft-applicatie- en databaseservers. Zoek naar tekenen van web shells, onbevoegde scripts of tools om inloggegevens te stelen .
4. Vervang alle inloggegevens die zijn opgeslagen in of toegankelijk zijn vanuit PeopleSoft, inclusief service-accounts en databaseverbindingsreeksen .
5. Beperk de netwerktoegang tot de PeopleSoft HTTP/HTTPS-interfaces (poort 80 en 443) vanaf het internet waar mogelijk, of plaats ze achter een VPN .
6. Houd toezicht op abnormale uitgaande gegevensoverdrachten vanuit PeopleSoft-servers. Grote uploads naar onbekende externe IP-adressen zijn een sterke aanwijzing voor datadiefstal .

Indicatoren van Compromittering (IoCs)

Het beeld rond de gepubliceerde IoCs is nog in ontwikkeling, maar de eerste rapporten wijzen op de volgende categorieën:

• Onbevoegde HTTP-verzoeken gericht op het Updates Environment Management-eindpunt in PeopleTools .
• De aanwezigheid van web shells of onverwachte scriptbestanden op de applicatieservers .
• Ongebruikelijke authenticatiegebeurtenissen vanaf onbekende IP-adressen of door service-accounts die zelden actief zijn .
• Grote uitgaande gegevensoverdrachten van databaseservers naar externe bestemmingen .
• Nieuw aangemaakte service-accounts of geplande taken op gecompromitteerde servers .

Ook zijn er specifieke IP-adressen van aanvallers vrijgegeven. Pathlock meldde bijvoorbeeld connecties vanaf 142.11.200.186–190, 108.174.202.99 en 176.120.22.24 alsook een losgeldbestand met de naam README-IF-... waarnaar in PeopleSoft-logboeken gezocht moet worden .

ShinyHunters en de onderwijssector: Een terugkerend patroon

Deze aanval op Oracle PeopleSoft staat niet op zichzelf. ShinyHunters heeft een gedocumenteerde voorkeur voor de onderwijssector, gedreven door strategische factoren:

• Rijke, geaggregeerde datasets. Universiteiten en hogescholen gebruiken enorme PeopleSoft-omgevingen die decennia aan persoonlijke, academische en financiële dossiers van honderdduizenden individuen bundelen .
• Trage update-cycli. Hogeronderwijsinstellingen draaien vaak zwaar aangepaste PeopleSoft-versies met een inconsistent en vertraagd patchbeleid, waardoor ze een makkelijk doelwit zijn voor elke opkomende kwetsbaarheid .
• Afpersing, niet gijzelsoftware. ShinyHunters richt zich op datadiefstal en afpersing. Dit model levert hoge rendementen op omdat de gestolen data gevoelig genoeg is voor slachtoffers om tot betaling over te gaan .
• Massaal en opportunistisch scannen. De groep scant hele sectoren tegelijk, in plaats van individuele doelwitten uit te kiezen. Deze techniek maximaliseert hun impact zodra een kritieke kwetsbaarheid als CVE-2026-35273 opduikt .

De campagne van juni 2026 volgt op eerdere aanvallen van ShinyHunters op universiteiten en educatieve technologieplatforms, waarbij de groep miljoenen records buitmaakte en verhandelde op het darkweb. De combinatie van een zero-day RCE-lek in PeopleTools en een sector met hardnekkige beveiligingslekken bleek verwoestend effectief.

Voor organisaties die hun blootstelling nog in kaart brengen, is patchen de absolute prioriteit. Maar bovenal herinnert dit incident ons eraan dat grootschalige ERP-platforms dezelfde gelaagde verdediging, monitoring en snelle-reactiecapaciteit vereisen als elke andere internationaal bereikbare, kritieke dienst.