La aerolínea regional Envoy Air reconoció que parte de su información corporativa fue comprometida en una campaña de ciberataques vinculada al grupo cibercriminal Clop, que habría explotado una vulnerabilidad “crítica” en sistemas Oracle.
La aerolínea Envoy Air, filial de American Airlines, confirmó que fue víctima de un ciberataque dirigido a su aplicación Oracle E-Business Suite, luego de que el grupo de extorsión Clop publicara el nombre de la compañía en su sitio de filtraciones. El incidente se enmarca en una amplia campaña de intrusiones que ha afectado a múltiples organizaciones en todo el mundo desde agosto de este año, según reportaron especialista de Mandiant, CrowdStrike y Google.
“Somos conscientes del incidente que involucra la aplicación Oracle E-Business Suite de Envoy. Al conocer el asunto, iniciamos una investigación inmediata y contactamos a las autoridades competentes. Hemos confirmado que no se vieron afectados datos sensibles ni de clientes, aunque podría haberse comprometido una cantidad limitada de información comercial y de contacto”, declaró un portavoz de la empresa a medios especializados de ciberseguridad.
Aunque el grupo Clop aseguró haber robado datos de American Airlines, la compañía matriz aclaró que el ataque se limitó a la subsidiaria y que los sistemas principales de American Airlines no usan Oracle E-Business Suite. La investigación interna, conducida en las últimas semanas, determinó que solo los entornos de Envoy Air fueron vulnerados.
El incidente no afectó las operaciones aéreas ni los servicios de tierra, confirmó la aerolínea, que cuenta con más de 20 mil empleados y opera vuelos regionales bajo la marca American Eagle hacia 160 destinos, con centros logísticos en las ciudades de Dallas, Chicago y Miami, en los Estados Unidos.
La campaña de Clop habría explotado la vulnerabilidad de día cero identificada como CVE-2025-61882, en los sistemas Oracle E-Business Suite. Esta falla, no conocida públicamente hasta después de los ataques, fue aprovechada por los delincuentes en agosto para infiltrarse en los entornos corporativos y robar información antes de lanzar sus demandas de extorsión.
Según Google Threat Analysis Group, “docenas de organizaciones fueron afectadas”, aunque los expertos estiman que el número real podría ser mucho mayor. El FBI calificó una de las vulnerabilidades asociadas al ataque como una ‘deténgase y parchee de inmediato’, enfatizando su gravedad.
Clop -también conocido como TA505 o FIN11- ha adquirido una reputación como uno de los grupos de ciberextorsión más activos del mundo. Desde 2019, la organización ha pasado de distribuir ransomware tradicional a explotar vulnerabilidades de día cero en plataformas empresariales para robar y filtrar datos confidenciales, evitando en muchos casos el cifrado directo de sistemas.
Clop ya había protagonizado ataques masivos contra plataformas como Accellion FTA, GoAnywhere MFT y MOVEit Transfer, comprometiendo a miles de empresas y gobiernos.
Una de sus más recientes víctimas incluidas en una nota en este blog, es la Universidad de Harvard, en los Estados Unidos, la que reconoció un “impacto limitado” en un pequeño grupo administrativo. Oracle, por su parte, lanzó un parche en septiembre para otra falla crítica (CVE-2025-61884), sin aclarar que ya había sido explotada en julio por los mismos actores.