){kind=link}
O Google confirmou que o grupo de extorsão ShinyHunters explorou uma vulnerabilidade crítica no Oracle PeopleSoft como zero-day, ou seja, antes mesmo de existir uma correção disponível. A confirmação foi feita pela Mandiant e pelo Google Threat Intelligence Group entre 27 de maio e 9 de junho de 2026, e atualiza o caso que o TecMundo já havia noticiado nesta semana.
A Mandiant, empresa de segurança digital do Google, atribuiu os ataques ao grupo que monitora como UNC6240, o mesmo nome usado para o ShinyHunters. Segundo a empresa, essa identificação confirma que a campanha contra servidores PeopleSoft não usava apenas falhas antigas, como se pensava antes.
smart_display
Nossos vídeos em destaque
Isso porque a Oracle só publicou o alerta sobre a vulnerabilidade em 10 de junho. Ou seja, durante todo o período da campanha, a falha era um zero-day, uma vulnerabilidade que os criminosos exploravam sem que a empresa ou o público soubessem da sua existência.
A vulnerabilidade recebeu o código CVE-2026-35273 e nota 9,8 de 10 em gravidade. Ela permite que um invasor execute comandos no servidor sem precisar de login ou qualquer interação da vítima. Basta ter acesso à rede pela internet. O problema está em um componente chamado Environment Management Hub, conhecido pela sigla PSEMHUB. A Oracle confirmou que as versões 8.61 e 8.62 do PeopleTools são afetadas. Versões mais antigas, que já não recebem suporte, provavelmente também estão vulneráveis.
O Google afirmou ter notificado mais de 100 organizações ao redor do mundo sobre a possível exposição. A maioria está nos Estados Unidos, e 68% são instituições de ensino superior. Segundo a empresa, algumas dessas organizações conseguiram bloquear o ataque a tempo. Outras tiveram seus sistemas invadidos e dados roubados.
)
Como os criminosos agiram, segundo a Mandiant
A Mandiant detalhou que os atacantes usaram programas de controle remoto disfarçados de ferramentas da Microsoft Azure. Isso porque o domínio usado para controlar os ataques se chamava “azurenetfiles.net”, parecido com um serviço real da Azure.
Depois de invadir um servidor, os criminosos rodavam um script chamado “[nome_da_vítima]_fanout.sh”. Esse script tentava se espalhar para outros computadores da rede usando senhas conhecidas, e ao final deixava o arquivo de aviso “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT”.
A Mandiant ainda afirmou que essa campanha está diretamente ligada aos vazamentos de dados publicados no site de extorsão do ShinyHunters em 9 de junho.
)
Quem foi afetado
O Google notificou mais de 100 organizações no mundo que tinham sistemas vulneráveis. A maioria está nos Estados Unidos, e 68% são instituições de ensino superior. Algumas conseguiram bloquear o ataque a tempo. Outras tiveram seus sistemas invadidos e dados roubados, que depois foram publicados no site de extorsão do ShinyHunters.
A Universidade de Nottingham, no Reino Unido, é uma das primeiras vítimas confirmadas. O site Have I Been Pwned identificou cerca de 455 mil endereços de e-mail únicos no vazamento, com nomes, endereços, telefones, números de passaporte e até dados sobre etnia e deficiência dos alunos e ex-alunos.
O que a Oracle recomenda
A Oracle lançou um alerta de segurança fora do calendário normal, mas ainda não tem um patch (correção) completo disponível. Por enquanto, a empresa recomenda desativar o serviço Environment Management Hub ou, em sistemas com um único servidor, remover completamente o aplicativo PSEMHUB.
)
Quem não puder fazer isso deve bloquear o acesso externo a endereços específicos do sistema. A vítima também deve verificar se já não foi invadida, procurando por arquivos estranhos ou alterações recentes em pastas do PSEMHUB.
O que vem a seguir
O ShinyHunters afirma ter atingido cerca de 300 sistemas PeopleSoft de 100 organizações diferentes, e diz que ainda não divulgou a maioria dos nomes. Isso significa que novas vítimas podem aparecer nos próximos dias.
Até então, o grupo costumava roubar dados usando técnicas como golpes de telefone e roubo de senhas em sistemas na nuvem. Explorar uma falha crítica direto em um software instalado nas empresas é uma mudança de tática, e mostra que o grupo está mirando em alvos com grandes volumes de dados pessoais.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.