El 11 de junio de 2026, Mandiant y Google Threat Intelligence Group (GTIG) publicaron el análisis completo de una campaña de compromiso y extorsión que comenzó el 27 de mayo y se prolongó hasta el 9 de junio — un día antes de que Oracle publicara el advisory sobre la vulnerabilidad que los atacantes habían estado explotando. CVE-2026-35273 es un fallo de ejecución remota de código sin autenticación (CVSS 9.8) en el componente Environment Management de Oracle PeopleSoft. Sin contraseña. Sin interacción del usuario. Solo acceso de red al endpoint correcto. El actor: ShinyHunters, rastreado por Google como UNC6240 — el mismo grupo que en mayo atacó Canvas/Instructure comprometiendo 275 millones de registros. Esta vez el objetivo mayoritario fueron universidades: el 68% de las más de 100 organizaciones comprometidas son instituciones de educación superior. Entre ellas, la Universidad de Nottingham con 500.000 registros de estudiantes exfiltrados.

¿Qué se sabe del ataque de ShinyHunters a Oracle PeopleSoft?

Los hechos documentados por Mandiant, Google GTIG, The Hacker News, Security Affairs, CybersecurityNews, CSO Online, CyberPress y GBHackers son los siguientes:

  • Vulnerabilidad: CVE-2026-35273, RCE sin autenticación en el componente Environment Management de Oracle PeopleSoft PeopleTools versiones 8.61 y 8.62. El fallo reside específicamente en el componente Updates Environment Management (el backend del Environment Management Hub, PSEMHUB). Sin login. Sin interacción del usuario. Solo acceso HTTP al endpoint vulnerable.
  • CVSS 9.8 (Critical): severidad máxima. El vector de ataque es la red, sin privilegios previos, sin interacción del usuario, confidencialidad e integridad completamente comprometidas.
  • 14 días de zero-day: la explotación activa comenzó el 27 de mayo de 2026. Oracle publicó su advisory el 10 de junio. Durante 14 días, cada organización atacada enfrentaba un fallo sin parche disponible y sin aviso oficial del proveedor.
  • 100+ organizaciones comprometidas, 68% universidades: Google GTIG notificó a más de 100 organizaciones cuyas IPs correlacionaban con endpoints PSEMHUB vulnerables potencialmente comprometidos. El 68% son instituciones de educación superior, principalmente en Estados Unidos. Entre los casos confirmados, la Universidad de Nottingham con 500.000 registros de estudiantes exfiltrados.
  • Actor: ShinyHunters (UNC6240): Mandiant atribuye la campaña a UNC6240, el cluster asociado a ShinyHunters, el grupo responsable de ataques previos de alto perfil a Ticketmaster, AT&T y Canvas/Instructure (275 millones de registros, mayo 2026).
  • Cómo fue descubierto: el investigador @nahamike01 detectó directorios abiertos en los servidores de staging de los atacantes. Los directorios estaban expuestos en cinco IPs secuenciales (142.11.200.186-190) y contenían materiales de staging, agentes MeshCentral personalizados, scripts de credential spray y un historial de comandos del atacante que permitió a GTIG reconstruir la operación completa.
  • Datos publicados: los archivos con datos robados de múltiples víctimas fueron publicados en el Data Leak Site de ShinyHunters el 9 de junio, un día antes del advisory de Oracle. ShinyHunters indica que el alcance real es mayor y que más nombres se publicarán progresivamente.
  • Parche disponible: Oracle publicó el advisory y el parche el 10 de junio en My Oracle Support. Requiere actualización a la versión de PeopleTools con el fix disponible para 8.61 y 8.62.

Por qué Oracle PeopleSoft es un objetivo de extorsión de primer orden

PeopleSoft no es un sistema de nicho: es el ERP de referencia en universidades y grandes organizaciones del sector público y privado globalmente. Su presencia en educación superior lo convierte en un objetivo especialmente atractivo para grupos de extorsión como ShinyHunters:

  1. PeopleSoft gestiona los datos más sensibles de una universidad. Registros académicos de estudiantes, datos personales (nombre, dirección, DNI/pasaporte, fecha de nacimiento), información financiera (becas, pagos de matrícula, números de cuenta), núminos de personal y datos de investigación. Un compromiso de PeopleSoft es un compromiso de todos los datos críticos de la institución.
  2. El Environment Management Hub estaba expuesto a internet en muchas organizaciones. PSEMHUB es un componente de administración que en configuraciones multi-servidor tiene exposición directa a la red para facilitar la gestión. Muchas organizaciones no lo habían restringido correctamente al asumirlo como “componente interno.”
  3. Oracle PeopleSoft tiene ciclos de parche trimestrales. El modelo de publicación de Oracle (Critical Patch Update trimestral) crea ventanas de exposición sistemáticamente más largas que en productos con ciclos de parche más ágiles. CVE-2026-35273 requirió un parche de emergencia fuera del ciclo habitual — 14 días después de que comenzara la explotación.
  4. ShinyHunters tiene historial directo en el blog de Apolo. En mayo cubrimos el ataque de ShinyHunters a Canvas/Instructure (275 millones de registros) y el posterior ataque a Instructure que resultó en el pago del rescate. Es el mismo grupo, con la misma metodología: explotar una vulnerabilidad crítica a escala, exfiltrar datos, y extorsionar a las organizaciones comprometidas antes de publicar los datos.

Cómo funcionó el ataque: del PSEMHUB a la exfiltración

La cadena de ataque de CVE-2026-35273, reconstruida por GTIG a partir de los directorios expuestos de los atacantes, sigue estos pasos:

  1. Identificación de instancias vulnerables. Los atacantes identificaron servidores PeopleSoft con el endpoint PSEMHUB (/PSEMHUB/*) accesible desde internet. Shodan y Censys permiten identificar este tipo de endpoints a escala. GTIG notó actividad de escaneo previo a los ataques dirigidos.
  2. Explotación de CVE-2026-35273. Sin autenticación previa, los atacantes enviaron peticiones HTTP especialmente construidas al componente PSEMHUB vulnerable, obteniendo ejecución de código en el servidor con los permisos del proceso PeopleSoft. El exploit captura además hashes NetNTLM de la cuenta de máquina mediante tráfico SMB saliente al puerto 445 hacia destinos externos.
  3. Establecimiento de persistencia con MeshCentral. Los atacantes desplegaron una versión personalizada de MeshCentral — una plataforma de monitoring y gestión remota open-source — disfrazada como servicios legítimos de Microsoft Azure. MeshCentral es software legítimo que proporciona acceso remoto persistente a través de múltiples sistemas operativos, lo que lo hace especialmente difícil de detectar por herramientas de seguridad que confían en Microsoft.
  4. Exfiltración de datos. Los datos robados fueron comprimidos con zstd antes de ser exfiltrados. La operación concluyó con una conexión SSH saliente a 176.120.22.24, la IP que aloja el espejo público del Data Leak Site de ShinyHunters.
  5. Extorsión y publicación. Los archivos con datos de múltiples víctimas fueron publicados en el DLS el 9 de junio. ShinyHunters indica que el alcance real de la campaña es mayor y que más organizaciones serán contactadas.

Lecciones clave y checklist de mitigación para organizaciones con Oracle PeopleSoft

Paso 1 — Verificar exposición del PSEMHUB (inmediato):

  • Verificar si el endpoint /PSEMHUB/* y /PSIGW/HttpListeningConnector son accesibles desde internet o desde redes no confiables. Estos endpoints deben estar bloqueados a nivel de firewall o perimetro de red.
  • En configuraciones de servidor único, Oracle recomienda eliminar completamente la aplicación PSEMHUB.
  • En configuraciones multi-servidor, Oracle recomienda deshabilitar el servicio Environment Management Hub (EMHub).

Paso 2 — Aplicar el parche de Oracle (acción prioritaria):

  • Consultar My Oracle Support para el parche disponible para PeopleTools 8.61 y 8.62 que corrige CVE-2026-35273. Aplicar en la próxima ventana de mantenimiento disponible.
  • Si no es posible parchear inmediatamente, implementar las mitigaciones de red del Paso 1 como medida temporal.

Paso 3 — Investigación forense (obligatoria si PSEMHUB estuvo expuesto desde el 27 de mayo):

  • Revisar los logs de acceso web en busca de peticiones inusuales a /PSEMHUB/* o /PSIGW/HttpListeningConnector desde el 27 de mayo.
  • Buscar tráfico SMB saliente en el puerto 445 desde los servidores PeopleSoft hacia IPs externas — un indicador de que el exploit capturó hashes NetNTLM.
  • Revisar los sistemas en busca de instalaciones no autorizadas de MeshCentral o servicios que se presenten como “Microsoft Azure” sin corresponder al software Microsoft legítimo.
  • Verificar si hay conexiones SSH salientes a la IP 176.120.22.24 en los logs de red.
  • Buscar los IoCs documentados por GTIG: actividad en las IPs 142.11.200.186-190 y el uso de la utilidad de compresión zstd en los sistemas comprometidos.

Paso 4 — Si el sistema fue comprometido:

  • Notificar inmediatamente al equipo de seguridad y activar el protocolo de respuesta a incidentes.
  • Aislar los servidores PeopleSoft afectados de la red hasta completar el análisis forense.
  • Evaluar el alcance de los datos exfiltrados para cumplir con las obligaciones de notificación regulatoria (LOPDGDD, RGPD).
  • Comunicar de forma proactiva a los afectados (estudiantes, personal) si hay indicios de exfiltración de datos personales.

La ciberseguridad como prioridad estratégica

CVE-2026-35273 en Oracle PeopleSoft ejemplifica con claridad uno de los patrones más peligrosos del panorama de amenazas de 2026: sistemas ERP críticos con endpoints de administración expuestos a internet, ciclos de parche lentos que crean ventanas de zero-day de semanas, y grupos de extorsión con la capacidad de operar a escala industrial. El hecho de que ShinyHunters haya comprometido más de 100 organizaciones en 14 días — antes de que Oracle publicara el advisory — no es un fallo excepcional: es el resultado predecible de la combinación de esos tres factores. Para las organizaciones con PeopleSoft, la pregunta de hoy es directa: ¿es accesible /PSEMHUB/* desde internet? Si la respuesta es sí, la ventana de ataque ya estuvo abierta durante 14 días.

Apolo Cybersecurity: evaluación de seguridad de Oracle PeopleSoft y respuesta ante ShinyHunters

En Apolo Cybersecurity ayudamos a organizaciones con Oracle PeopleSoft a verificar la exposición ante CVE-2026-35273: revisión de la accesibilidad externa de los endpoints PSEMHUB, implementación del parche y de las medidas de mitigación de red, investigación forense de logs desde el 27 de mayo en busca de indicadores de compromiso de la campaña ShinyHunters, detección de instalaciones de MeshCentral no autorizadas, y evaluación del alcance regulatorio de la exfiltración para cumplimiento RGPD.

Si tu organización usa Oracle PeopleSoft PeopleTools 8.61 o 8.62 y el endpoint PSEMHUB ha estado accesible desde el exterior desde el 27 de mayo, este jueves es el momento de iniciar la investigación forense.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity