ShinyHunters utnyttjade kritisk nolldagars-sårbarhet i Oracle PeopleSoft – över 100 organisationer hackade

Oracle meddelade att forskare från TrendAI Zero Day Initiative och TrendAI Research låg bakom rapporteringen av sårbarheten . Dess kritiska egenskaper – nätverksbaserad attackvektor, låg komplexitet, inget krav på autentisering och ingen användarinteraktion – gjorde den till ett perfekt mål för massutnyttjande i samma ögonblick som den blev känd för angripare.

Så gick attacken till – en tidslinje före patchen

Kampanjen tillskrevs av Googles Mandiant till den grupp de spårar som UNC6240, offentligt känd under namnet ShinyHunters. Mandiant daterade fönstret för aktivt utnyttjande från runt den 27 maj 2026 fram till den 9 juni 2026 .

Eftersom Oracle inte publicerade sin säkerhetsbulletin eller släppte en patch förrän den 10 juni 2026, förblev sårbarheten en nolldagars-brist under hela den tid attackerna pågick . Under denna period skannade angriparna internet efter exponerade PeopleSoft-instanser och använde CVE-2026-35273 för att få inledande fotfäste på opatchade servrar.

Väl inne rörde sig gruppen horisontellt genom de drabbade nätverken. Säkerhetsforskare på Field Effect konstaterade att angriparna kombinerade CVE-2026-35273 med stulna inloggningsuppgifter och troligen ytterligare sårbarheter för att maximera omfattningen av intrånget och lokalisera känsliga datalager . Den här flerstegsmetoden tillät ShinyHunters att komma över betydligt mer data än vad en snabb "smash-and-grab"-exploat skulle ha gett.

Efter att ha exfiltrerat data följde gruppen sitt välkända mönster: de krävde betalning från offren och hotade med att offentliggöra den stulna informationen om kraven inte uppfylldes . Fokus på utpressning snarare än utplacering av ransomware är ett kännetecken för ShinyHunters operationer.

Vad som stals

Den stulna datan varierade mellan olika offerorganisationer, men flera högt värderade kategorier återkom:

• Personligt identifierbar information (PII) som tillhörde studenter, lärare och administrativ personal .
• Akademiska meriter, antagningsuppgifter och information om studiemedel, vilket speglar den stora koncentrationen av offer inom utbildningssektorn .
• HR- och lönedata från företagens PeopleSoft-system, inklusive förmåner och löneinformation .
• Interna systemkonfigurationsfiler och inloggningsuppgifter som angriparna använde för att förflytta sig internt i de komprometterade miljöerna .

Den stora bredden av stulen data speglar PeopleSofts roll som ett centraliserat ERP-system som samlar känslig information inom HR, ekonomi och campusadministration . Ett enda intrång kan exponera flera decenniers person- och verksamhetsdata.

Oracles agerande – akut patch utanför ordinarie cykel

Den 10 juni 2026 bröt Oracle sin vanliga kvartalsvisa patchcykel och publicerade en akut säkerhetsbulletin för CVE-2026-35273 . Samma dag släppte företaget patchar för PeopleTools 8.61 och 8.62, ett ovanligt brådskande drag som underströk den aktiva och omfattande exploateringen .

Oracles bulletin var osedvanligt rak: "Denna sårbarhet kan fjärrutnyttjas utan autentisering. Vid ett lyckat angrepp kan detta leda till fjärrkörning av kod" . Företaget uppmanade alla kunder att applicera patchen som en "högprioriterad riskminskningsåtgärd" .

CISA slår larm

Två dagar efter Oracles bulletin, den 12 juni 2026, lade den amerikanska myndigheten Cybersecurity and Infrastructure Security Agency (CISA) till CVE-2026-35273 i sin Known Exploited Vulnerabilities-katalog (KEV) . Detta utlöste tvingande patchdeadlines för amerikanska federala myndigheter och fungerade som en stark signal till alla organisationer – offentliga såväl som privata – att sårbarheten var under aktiv, storskalig attack.

Den kanadensiska cybersäkerhetsmyndigheten (Canadian Centre for Cyber Security) utfärdade också bulletin AV26-587 den 11 juni, med varning för aktiv exploatering och en direkt uppmaning till administratörer att omedelbart följa Oracles rekommendationer . Den samordnade reaktionen från myndigheterna återspeglade incidentens allvar och omfattning.

Akuta åtgärdssteg för din organisation

Baserat på riktlinjer från Oracle, CISA, Rapid7 och andra säkerhetsaktörer bör organisationer som kör PeopleSoft vidta följande åtgärder utan dröjsmål:

1. Applicera Oracles nödpatch för PeopleTools 8.61 och 8.62 omedelbart .
2. Kontrollera versioner som inte stöds. Om du kör en äldre version utanför den patchade skalan, planera en akut uppgradering till en supporterad version innan patchen appliceras.
3. Genomför en it-forensisk granskning av PeopleSofts applikations- och databasservrar för spår av webbshells, obehöriga skript eller verktyg för lösenordsdumpning .
4. Byt alla lösenord och nycklar som lagras i eller är åtkomliga från PeopleSoft-miljöer, inklusive tjänstekonton och databasanslutningssträngar .
5. Begränsa nätverksåtkomst till PeopleSofts HTTP/HTTPS-gränssnitt (port 80 och 443) från internet där det är möjligt, eller placera dem bakom ett VPN .
6. Övervaka avvikande utgående dataöverföringar från PeopleSoft-servrar – stora överföringar till okända externa IP-adresser är en stark indikation på datastöld .

Indikatorer på kompromettering

Utredningsarbetet pågår fortfarande, men flera typer av spår har redan identifierats:

• Obehöriga HTTP-förfrågningar riktade mot Updates Environment Management-slutpunkten i PeopleTools .
• Webbshells eller oväntade skriptfiler som dyker upp på PeopleSofts applikationsservrar .
• Onormala inloggningsförsök från okända IP-adresser eller tjänstekonton som sällan brukar logga in .
• Stora utgående dataöverföringar från PeopleSofts databasservrar till externa destinationer .
• Nyskapade tjänstekonton eller schemalagda uppgifter på komprometterade servrar .

Specifika IP-adresser kopplade till angriparna har också publicerats – exempelvis rapporterade Pathlock anslutningar från 142.11.200.186–190, 108.174.202.99 samt 176.120.22.24 – samt en utpressningsfil med namnet README-IF-... som organisationer bör söka efter i sina PeopleSoft-loggar .

ShinyHunters och utbildningssektorn – ett återkommande mönster

Oracle PeopleSoft-kampanjen är inget undantag för ShinyHunters. Gruppen har en väldokumenterad förkärlek för utbildningssektorn, drivet av flera strategiska faktorer:

• Rika, aggregerade dataset. Universitet och högskolor kör ofta massiva PeopleSoft-installationer som samlar årtionden av person-, akademik- och finansdata om hundratusentals individer .
• Långsamma patchcykler. Lärosäten kör ofta kraftigt egenanpassade PeopleSoft-miljöer med inkonsekventa och försenade uppdateringsrutiner, vilket gör dem till enkla mål då en sårbarhet blir aktivt utnyttjad .
• Fokus på utpressning, ej ransomware. ShinyHunters specialiserar sig på datastöld och utpressning snarare än ransomware, en modell som ger hög avkastning när den stulna datan är tillräckligt känslig för att motivera en utbetalning .
• Storskalig, opportunistisk skanning. Gruppen gör breda svep över hela sektorer istället för att rikta in sig på enskilda högvärdiga mål – en teknik som maximerar deras fotavtryck så fort en kritisk sårbarhet som CVE-2026-35273 blir tillgänglig .

Junikampanjen 2026 följer på tidigare ShinyHunters-attacker mot universitet och edtech-plattformar, där gruppen stulit miljontals poster och sålt dem på dark web-forum. Kombinationen av ett nolldagars-RCE-hål i PeopleTools och en offergrupp med ihållande säkerhetsbrister visade sig förödande effektiv.

För organisationer som fortfarande utvärderar sin exponering är patching den absoluta prioriteten. Utöver det tjänar incidenten som en påminnelse om att storskaliga ERP-plattformar kräver samma skiktade försvar, kontinuerlig övervakning och snabba insatsförmåga som vilken internetuppkopplad kritisk tjänst som helst.