Google confirma exploração de falha zero-day em plataforma da Oracle

A Google confirmou que o grupo de cibercrime ShinyHunters explorou ativamente uma vulnerabilidade crítica de execução remota de código no Oracle PeopleSoft, identificada como CVE-2026-35273, antes da disponibilização de medidas de mitigação por parte da Oracle.

A falha afeta as versões 8.61 e 8.62 do PeopleSoft Enterprise PeopleTools, bem como aplicações PeopleSoft Enterprise. A Oracle publicou esta semana um alerta de segurança e medidas de mitigação para o problema, embora ainda não tenha disponibilizado correções definitivas.

O PeopleSoft é uma plataforma ERP amplamente utilizada por grandes organizações para gestão de recursos humanos, salários, finanças, cadeias de abastecimento e operações académicas.

Segundo a Mandiant e o Google Threat Intelligence Group (GTIG), a exploração da vulnerabilidade foi observada entre 27 de maio e 9 de junho. A atividade foi atribuída ao grupo ShinyHunters, identificado pela Google como UNC6240.

A campanha teve como principal alvo instituições de ensino superior. A Universidade de Nottingham, no Reino Unido, foi a primeira vítima confirmada. De acordo com a Google, mais de cem organizações em todo o mundo foram notificadas sobre uma potencial exposição ao ataque, sendo que 68% pertencem ao setor da educação e a maioria está localizada nos Estados Unidos.

Embora algumas organizações tenham conseguido bloquear as tentativas de intrusão, outras viram os seus sistemas comprometidos e dados sensíveis serem exfiltrados. Os atacantes afirmam ter visado cerca de 300 instâncias PeopleSoft pertencentes a aproximadamente cem organizações.

A investigação revelou que os cibercriminosos utilizaram ambientes de preparação com agentes personalizados do MeshCentral disfarçados de serviços cloud legítimos. Estes componentes foram usados para executar comandos administrativos, movimentação lateral dentro das redes comprometidas e implementação de scripts destinados à propagação dos ataques e à alteração de sistemas.

A Google indicou que a campanha está diretamente relacionada com a publicação de dados roubados no portal de divulgação de fugas de informação operado pelos ShinyHunters, ocorrida a 9 de junho. Além de divulgar indicadores de compromisso (IoC), a Google publicou recomendações de mitigação e endurecimento de sistemas para ajudar as organizações a protegerem as suas infraestruturas.

A Oracle não confirmou publicamente a exploração ativa da vulnerabilidade. Já a TrendAI, unidade empresarial da Trend Micro, cujos investigadores reportaram a falha à Oracle, afirmou estar a observar exploração limitada da vulnerabilidade, mantendo a investigação em curso.