Oracle emitió hace algunos días atrás una alerta de seguridad para abordar la vulnerabilidad CVE-2026-35273 en PeopleSoft Enterprise PeopleTools, una falla de ejecución remota de código que afecta a las versiones 8.61 y 8.62 de la plataforma. El problema fue dado a conocer en medio de reportes que vinculan a la banda de extorsión ShinyHunters con una campaña de robo de datos dirigida contra organizaciones que utilizan este software de gestión empresarial.
Según la información publicada por Mandiant y Google Threat Intelligence Group (GTIG), el grupo identificado como UNC6240 explotó la vulnerabilidad entre el 27 de mayo y el 9 de junio de 2026, antes de que Oracle divulgara oficialmente su aviso de seguridad. La compañía tecnológica explicó que el fallo permitía comprometer servidores expuestos a través de componentes asociados al Environment Management Hub (PSEMHUB), sin requerir autenticación previa ni interacción de usuarios.
Mandiant indicó que más de 100 organizaciones fueron notificadas porque se detectaron sistemas expuestos al vector de ataque. De acuerdo con la investigación, el 68% de las entidades identificadas pertenecían al sector de educación superior y se concentraban principalmente en los Estados Unidos. Algunas instituciones lograron bloquear la actividad maliciosa, mientras que otras sufrieron intrusiones y posterior filtración de datos.
Uno de los casos confirmados corresponde a la Universidad de Nottingham en el Reino Unido, incidente que fue informado recientemente en este blog, y que comprometió registros de estudiantes y exalumnos los cuales fueron expuestos en sitios utilizados por los atacantes para presionar a las víctimas mediante extorsión.
En su alerta oficial, Oracle destacó la urgencia de aplicar medidas de protección mientras los clientes implementan las correcciones correspondientes. La empresa señaló que “consideramos que la implementación de estas medidas de mitigación es una prioridad para la reducción de riesgos y recomendamos encarecidamente tomar medidas inmediatas para abordar la vulnerabilidad identificada”.
La investigación también reveló detalles sobre la infraestructura utilizada durante la campaña. Mandiant encontró servidores expuestos que contenían herramientas empleadas por los atacantes, incluyendo agentes de administración remota, scripts para movimiento lateral dentro de redes comprometidas y archivos destinados a dejar mensajes de extorsión en sistemas PeopleSoft vulnerados.
Oracle recomendó deshabilitar el servicio Environment Management Hub cuando sea posible, restringir el acceso externo a los componentes afectados y revisar registros en busca de solicitudes sospechosas dirigidas a los puntos identificados por los investigadores. Además, la compañía sugirió aplicar las actualizaciones correspondientes para cada versión de PeopleTools tan pronto estén disponibles.
El caso ha generado preocupación debido al perfil de las organizaciones afectadas y al cambio de tácticas observado en ShinyHunters. Mandiant destacó que la explotación de una vulnerabilidad de servidor en una plataforma ERP representa una evolución respecto de campañas anteriores del grupo, tradicionalmente asociadas al robo de datos mediante credenciales comprometidas, accesos indebidos y ataques dirigidos a plataformas SaaS.
El reporte de Mandiant en su parte final comparte algunos indicadores de compromiso para ayudar a las entidades a detectar e identificar la actividad de los actores de amenaza.
![[Weekly Update] Ecosistemas de desarrollo se protegen ante aumento de ataques a cadena de suministros](https://i0.wp.com/blog.nivel4.com/wp-content/uploads/2026/06/weeklyupdate_verde-1.jpg?fit=768%2C543&ssl=1)