ShinyHunters uderzają w uniwersytety – exploitami w PeopleSoft wykradli dane ponad 100 organizacji

Grupa zastosowała „gadget chain” – kombinację starszych, znanych podatności połączonych z nowo odkrytymi lukami zero-day w PeopleSoft . Jak przekazali BleepingComputer, skuteczność ataku nie jest jednakowa; zależy od tego, jak dana ofiara skonfigurowała swoje środowisko PeopleSoft .

Działanie w modelu „płać albo wyciek” oznacza, że gdy ofiary odmawiają zapłaty okupu, skradzione dane trafiają na witrynę przeciekową ShinyHunters .

Główny cel: sektor edukacji

Uniwersytety ucierpiały najmocniej. ShinyHunters skupili się głównie na szkołach wyższych, kontynuując schemat z wcześniejszych kampanii w 2026 roku przeciwko Canvas/Instructure i Salesforce Experience Cloud .

University of Nottingham potwierdził włamanie. Atakujący przeniknęli do systemu rejestrów studenckich Campus Solutions – opartego właśnie na Oracle PeopleSoft – pod koniec maja 2026 roku . Próbka danych opublikowana przez ShinyHunters zawierała rekordy studentów, kandydatów, pomocy finansowej, imigracyjne, zdrowotne i administracyjne . Gang utrzymuje, że wykradł ponad 40 GB wrażliwych informacji, w tym billingi, dane kart kredytowych, finanse studenckie i eksporty z portali kampusowych w Wielkiej Brytanii, Malezji i Chinach .

Zmiana taktyki: od vishingu do zero-day

Kampania PeopleSoft to znaczący zwrot taktyczny dla ShinyHunters. Przez większość 2025 i początek 2026 roku grupa polegała niemal wyłącznie na nadużyciach tożsamości i dostępu – vishingu, socjotechnice, przejmowaniu kont Okta SSO i nadużyciach tokenów OAuth . Raporty Mandiant i Google Threat Intelligence Group opisywały, jak ShinyHunters podszywają się pod pracowników działu IT, kierują ofiary na fałszywe strony logowania firm i kradną poświadczenia logowania jednokrotnego (SSO) oraz kody MFA .

Briefing wywiadowczy The Crosswalk wprost stwierdził, że ShinyHunters „prawie nigdy nie wykorzystują luk w oprogramowaniu”, a zamiast tego koncentrują się na weryfikacji w helpdesku, MFA pracowników i tokenach OAuth zewnętrznych aplikacji SaaS . Ataki na PeopleSoft całkowicie zrywają z tą formą, wykorzystując autentyczne exploity – w tym zero-day – co nie było wcześniej widziane w ich operacjach .

Oracle i brytyjskie władze: na razie cisza

Do 10 czerwca 2026 Oracle nie wydał publicznego oświadczenia ani ostrzeżenia bezpieczeństwa dotyczącego tej konkretnej kampanii. Nie ogłoszono ani nie potwierdzono żadnych poprawek związanych z tą aktywnością .

Brytyjskie organy – w tym Urząd Komisarza ds. Informacji (ICO) i organy ścigania – również nie skomentowały publicznie incydentu. University of Nottingham zarządzał odpowiedzią wewnętrznie, informując bezpośrednio studentów i czasowo odłączając systemy do analizy .

Wskaźniki kompromitacji: co wiemy

Społeczność bezpieczeństwa nie opublikowała jeszcze szeroko konkretnych wskaźników kompromitacji (IoC) dla PeopleSoft, takich jak adresy IP czy hashe plików powiązane z tą kampanią. Huntress opublikował ogólniejszy Profil Grupy Przestępczej ze wskaźnikami sieciowymi powiązanymi z infrastrukturą ShinyHunters, ale dotyczą one kampanii SaaS, a nie konkretnie eksploitacji PeopleSoft .

Briefing The Crosswalk odnotowuje, że typowe metody ShinyHunters – nadużycia tożsamości – rzadko pozostawiają IoC specyficzne dla luk w oprogramowaniu, co utrudnia obronę przed tą konkretną kampanią .

Eskalacja w 2026: schemat masowego wymuszenia

Kampania PeopleSoft wpisuje się w brutalną, całoroczną eskalację:

• Początek 2026: Kampania AuraInspector wykorzystująca błędnie skonfigurowane instancje Salesforce Experience Cloud – ShinyHunters podają, że dotknęła blisko 400 organizacji .
• Luty 2026: Włamanie do Wynn Resorts ujawniło ponad 800 000 rekordów pracowniczych, przy czym początkowy dostęp również powiązano z podatnością Oracle PeopleSoft .
• Kwiecień–maj 2026: Włamanie do systemu LMS Canvas/Instructure – największa w historii kradzież danych z sektora edukacji – ShinyHunters ogłosili kradzież 275 milionów rekordów z około 8 000–9 000 instytucji .
• Maj–czerwiec 2026: Włamanie do Charter Communications ujawniło 4,9 miliona rekordów klientów .
• Czerwiec 2026: Kampania Oracle PeopleSoft dodała ponad 100 organizacji i 300 instancji .

Raport Verizon 2026 Data Breach Investigations Report potwierdził strukturalną zmianę: wykorzystanie podatności po raz pierwszy od 19 lat wyprzedziło kradzież poświadczeń jako główny wektor włamań . Zwrot ShinyHunters w stronę realnych łańcuchów exploitów – zamiast nadużyć tożsamości – wpisuje się w ten szerszy trend i sygnalizuje, że masowo-równoległe kampanie przeciwko szeroko wdrożonym platformom korporacyjnym prawdopodobnie będą kontynuowane.

Dla uniwersytetów lekcja jest surowa. Ten sam skonsolidowany łańcuch dostaw oprogramowania, który uczynił platformy takie jak Canvas i PeopleSoft niezbędnymi do zdalnej nauki i administracji, uczynił je także katastrofalnymi pojedynczymi punktami awarii, gdy atakujący znajdą niezałatany brzeg .