Chiến Dịch Đánh Cắp Dữ Liệu Đại Học Quy Mô Lớn của ShinyHunters Nhắm vào Oracle PeopleSoft

Kỹ thuật được sử dụng là một "chuỗi tiện ích" (gadget chain) – sự kết hợp giữa các lỗ hổng cũ đã biết và các lỗ hổng zero-day mới trong PeopleSoft . Theo trao đổi của chúng với BleepingComputer, cuộc tấn công không phải lúc nào cũng thành công; khả năng xâm nhập phụ thuộc vào cách mỗi nạn nhân cấu hình hệ thống PeopleSoft của mình . Chiến dịch này áp dụng mô hình "trả tiền hoặc bị rò rỉ" (pay-or-leak) – khi nạn nhân từ chối trả tiền chuộc, dữ liệu sẽ bị công khai trên trang web rò rỉ của ShinyHunters .

Ngành Giáo Dục: Mục Tiêu Hàng Đầu

Các trường đại học là đối tượng chịu thiệt hại nặng nề nhất. ShinyHunters tập trung phần lớn nguồn lực vào các cơ sở giáo dục đại học, tiếp nối xu hướng đã được thiết lập từ các chiến dịch trước đó trong năm 2026 nhắm vào các nền tảng như Canvas/Instructure và Salesforce Experience Cloud .

Đại học Nottingham đã xác nhận bị xâm phạm. Tin tặc đã thâm nhập vào hệ thống quản lý hồ sơ sinh viên Campus Solutions của trường – vốn vận hành trên nền tảng Oracle PeopleSoft – vào cuối tháng 5 năm 2026 . Một mẫu dữ liệu bị đánh cắp được ShinyHunters đăng tải bao gồm hồ sơ của sinh viên, người nộp đơn, dữ liệu hỗ trợ tài chính, nhập cư, y tế và hành chính . Băng nhóm này tuyên bố đã đánh cắp hơn 40 GB thông tin nhạy cảm, bao gồm hồ sơ thanh toán và hóa đơn, chi tiết thẻ tín dụng, dữ liệu tài chính sinh viên, cùng dữ liệu xuất ra từ cổng thông tin của trường, ảnh hưởng đến các cơ sở của Nottingham tại Anh, Malaysia và Trung Quốc .

Bước Chuyển Chiến Thuật: Từ Lừa Đảo Điện Thoại Đến Khai Thác Lỗ Hổng

Chiến dịch PeopleSoft là một sự thay đổi chiến thuật quan trọng của ShinyHunters. Trong phần lớn năm 2025 và đầu năm 2026, nhóm này gần như chỉ dựa vào việc lạm dụng danh tính và quyền truy cập – lừa đảo qua điện thoại, kỹ thuật xã hội, chiếm đoạt tài khoản Okta SSO, và lạm dụng mã thông báo OAuth – để xâm nhập các tổ chức . Các báo cáo của Mandiant và Google Threat Intelligence Group đã ghi nhận cách ShinyHunters giả danh nhân viên bộ phận hỗ trợ IT, hướng dẫn nhân viên đến các trang web lừa đảo có giao diện giống hệt công ty, từ đó đánh cắp thông tin đăng nhập một lần (SSO) và mã xác thực đa yếu tố (MFA) .

Báo cáo tình báo mối đe dọa của The Crosswalk từng thẳng thắn nhận định ShinyHunters "gần như không bao giờ khai thác lỗ hổng phần mềm" mà tập trung vào việc qua mặt quy trình xác minh của bộ phận hỗ trợ, MFA của nhân viên và mã thông báo OAuth của các ứng dụng SaaS bên thứ ba . Các cuộc tấn công vào PeopleSoft đã phá vỡ hoàn toàn khuôn mẫu đó, sử dụng các công cụ khai thác lỗ hổng phần mềm thực thụ – bao gồm cả zero-day – một điều chưa từng thấy trong hoạt động trước đây của chúng .

Phản Ứng Hạn Chế từ Oracle và Cơ Quan Chức Năng Anh

Tính đến ngày 10 tháng 6 năm 2026, Oracle vẫn chưa đưa ra bất kỳ tuyên bố công khai hay khuyến cáo bảo mật nào liên quan cụ thể đến chiến dịch PeopleSoft này. Chưa có bản vá nào được công bố hay xác nhận liên quan đến hoạt động này .

Các cơ quan chức năng của Vương quốc Anh – bao gồm Văn phòng Ủy viên Thông tin (ICO) và cơ quan thực thi pháp luật – cũng chưa có bất kỳ bình luận công khai cụ thể nào về vụ việc. Đại học Nottingham đã tự xử lý phản ứng, thông báo trực tiếp cho sinh viên và tạm thời đưa các hệ thống vào trạng thái ngoại tuyến để điều tra .

Dấu Hiệu Xâm Nhập: Có Gì Cho Cộng Đồng Phòng Thủ?

Cộng đồng an ninh mạng đến nay vẫn chưa công bố rộng rãi các dấu hiệu xâm nhập (IoCs) cụ thể cho PeopleSoft trong chiến dịch này, chẳng hạn như địa chỉ IP hay mã băm của các tệp tin. Huntress đã xuất bản một Hồ sơ Tác nhân Đe dọa rộng hơn, bao gồm các chỉ báo mạng liên quan đến cơ sở hạ tầng của ShinyHunters, nhưng những thông tin đó liên quan đến các chiến dịch nhắm vào SaaS, không phải việc khai thác PeopleSoft .

Báo cáo của The Crosswalk cũng lưu ý rằng chiến thuật điển hình của ShinyHunters – lạm dụng danh tính – hiếm khi tạo ra các IoC cụ thể cho lỗ hổng phần mềm, khiến cho việc truy lùng phòng thủ cho chiến dịch này trở nên khó khăn hơn .

2026: Năm Leo Thang của Mô Hình Tống Tiền Hàng Loạt

Chiến dịch PeopleSoft nằm trong một quá trình leo thang tàn khốc kéo dài suốt năm 2026:

• Đầu năm 2026: Chiến dịch AuraInspector khai thác các cấu hình sai trong Salesforce Experience Cloud, với ShinyHunters tuyên bố đã ảnh hưởng đến gần 400 tổ chức .
• Tháng 2 năm 2026: Vụ xâm phạm Wynn Resorts làm lộ hơn 800.000 hồ sơ nhân viên, quyền truy cập ban đầu cũng được cho là có liên quan đến một lỗ hổng Oracle PeopleSoft .
• Tháng 4–5 năm 2026: Vụ xâm phạm hệ thống quản lý học tập Canvas/Instructure – vụ đánh cắp dữ liệu lớn nhất trong lịch sử ngành giáo dục – khiến ShinyHunters tuyên bố sở hữu 275 triệu hồ sơ từ khoảng 8.000–9.000 cơ sở .
• Tháng 5–6 năm 2026: Vụ xâm phạm Charter Communications làm lộ 4,9 triệu hồ sơ khách hàng .
• Tháng 6 năm 2026: Chiến dịch Oracle PeopleSoft với hơn 100 tổ chức và 300 phiên bản tiếp tục nối dài danh sách nạn nhân .

Báo cáo Điều tra Vi phạm Dữ liệu (DBIR) năm 2026 của Verizon đã xác nhận một sự dịch chuyển mang tính cấu trúc: lần đầu tiên trong 19 năm, khai thác lỗ hổng phần mềm đã vượt qua việc sử dụng thông tin đăng nhập bị đánh cắp để trở thành vector xâm nhập hàng đầu . Sự chuyển hướng của ShinyHunters sang sử dụng các chuỗi khai thác thực thụ – thay vì lạm dụng danh tính – phù hợp với xu hướng chung này và là tín hiệu cho thấy các chiến dịch quy mô lớn, song song nhắm vào các nền tảng doanh nghiệp được triển khai rộng rãi sẽ còn tiếp diễn.

Đối với các trường đại học, bài học thật rõ ràng. Cũng chính chuỗi cung ứng phần mềm hợp nhất đã khiến các nền tảng như Canvas và PeopleSoft trở nên thiết yếu cho việc học tập và quản trị từ xa, thì giờ đây lại biến chúng thành những điểm yếu chết người khi kẻ tấn công tìm thấy một lỗ hổng chưa được vá .