O grupo ShinyHunters (UNC6240) conduziu uma campanha ativa de comprometimento e extorsão entre 27 de maio e 9 de junho de 2026, visando infraestruturas da Oracle PeopleSoft, de acordo com análise da Mandiant e do Google Threat Intelligence Group (GTIG). A atividade é consistente com a exploração do CVE-2026-35273 (CVSS de 9.8), uma vulnerabilidade crítica de execução remota de código no componente Environment Management. Como a exploração ocorreu antes do aviso da Oracle em 10 de junho de 2026, a falha foi explorada como zero day, informou a Mandiant.
O GTIG notificou mais de cem organizações globais cujos endereços IP se correlacionavam com endpoints potencialmente vulneráveis. A maioria dessas organizações está baseada nos Estados Unidos, e 68% operam no setor de educação superior (instituições acadêmicas, incluindo universidades e faculdades em todo o mundo), detalhou o relatório. Relatos públicos no X pelo usuário @nahamike01 destacaram diretórios abertos de atacantes em servidores de staging, permitindo que o GTIG realizasse uma triagem detalhada das operações do grupo.
Infraestrutura de staging e agentes MeshCentral
Os atacantes usaram cinco endereços IP sequenciais (142.11.200.186 a 142.11.200.190) que hospedavam servidores HTTP Python na porta 8888, expondo conteúdos de diretório que incluíam materiais de staging, agentes personalizados e históricos de comandos, segundo a Mandiant. A infraestrutura de staging hospedava binários de agentes MeshCentral pré-configurados para Windows, disfarçados como serviços da Microsoft Azure, nomeados especificamente como meshagent32-azure-ops.exe, meshagent64-azure-ops.exe e meshagent64-v2.exe.
Os agentes foram configurados para estabelecer comunicação com o servidor de comando e controle (C2) wss://azurenetfiles.net:443/agent.ashx. O domínio azurenetfiles.net foi escolhido para imitar endpoints legítimos do Microsoft Azure NetApp Files, uma tática comum de disfarce, explicou o relatório. Um binário Linux meshagent não configurado também foi armazenado, sugerindo que os atacantes passavam parâmetros dinamicamente via linha de comando durante a implantação.
Reconhecimento interno, movimento lateral e extorsão
A análise do arquivo .bash_history, idêntico nos cinco servidores de staging, revelou as operações dos atacantes. No dia 27 de maio de 2026, às 22h14 UTC, os invasores instalaram o servidor de gerenciamento remoto MeshCentral (versão 1.1.59) e, onze minutos depois, instalaram o pacote acme-client para automatizar certificados SSL Let’s Encrypt para o domínio azurenetfiles.net, detalhou a Mandiant.
Os invasores executaram reconhecimento direcionado dentro das redes internas comprometidas, mapeando configurações do Oracle PeopleSoft. Eles escreveram um script de propagação chamado [victim_abbreviation]_fanout.sh diretamente no diretório /tmp do sistema comprometido. O script automatiza a pulverização de credenciais SSH contra hosts internos, analisando nomes de host do arquivo local /etc/hosts e tentando autenticação usando uma lista fixa de nomes de usuário e senhas administrativas comuns, de acordo com o relatório.
Após estabelecer uma sessão SSH bem-sucedida, o script copia um arquivo de desfiguração e extorsão chamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT para os diretórios do WebLogic e do Process Scheduler. Esta atividade de implantação correlaciona-se diretamente com a publicação de arquivos roubados no Data Leak Site (DLS) do ShinyHunters no dia 9 de junho de 2026, informou a Mandiant.
Recomendações e indicadores de comprometimento
A Mandiant recomendou que organizações que executam o Oracle PeopleSoft bloqueiem imediatamente o acesso externo aos endpoints sensíveis /PSEMHUB/* (especificamente /PSEMHUB/hub) e /PSIGW/HttpListeningConnector no perímetro de rede ou no firewall, pois restringir esses endpoints é considerado não disruptivo para operações normais de usuário final. A empresa também recomendou auditoria de logs de acesso WebLogic para requisições POST direcionadas a esses endpoints, monitoramento de tráfego SMB de saída (porta 445) e verificação do sistema de arquivos em busca de webshells, diretórios não autorizados e arquivos XML recém-criados ou modificados.
Os indicadores de comprometimento (IoCs) incluem os cinco endereços IP de staging e o domínio azurenetfiles.net.
