ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas

Publicado hace 1 día 16-06-2026

Google y Mandiant confirmaron que el grupo conocido como ShinyHunters (rastreado por Google como UNC6240) ha explotado activamente una vulnerabilidad zero-day en PeopleSoft para robar datos de organizaciones, con un aparente foco en el sector educativo. Oracle emitió un aviso fuera de banda sobre CVE-2026-35273, una vulnerabilidad crítica de ejecución remota de código sin autenticación que afecta a PeopleSoft Enterprise PeopleTools 8.61 y 8.62, además de versiones de PeopleSoft Enterprise Applications. Aunque Oracle publicó mitigaciones, los parches completos aún no parecen estar disponibles, por lo que muchas organizaciones quedaron expuestas mientras se desarrollan las correcciones definitivas.

Las observaciones de explotación se registraron entre el 27 de mayo y el 9 de junio. Google Threat Intelligence Group y Mandiant describen cómo los atacantes instalaron agentes personalizados de MeshCentral que se hacían pasar por endpoints legítimos en la nube; estos agentes permitieron ejecutar comandos administrativos y desplegar un script de movimiento lateral y defacement denominado _fanout.sh. ShinyHunters afirma haber atacado aproximadamente 300 instancias de PeopleSoft pertenecientes a 100 organizaciones. Google notificó potencial exposición a más de 100 entidades globales, la mayoría en Estados Unidos y con un 68% en el sector de educación superior. La Universidad de Nottingham (Reino Unido) figura como la primera víctima confirmada.

Algunos objetivos consiguieron bloquear los ataques, pero otros fueron comprometidos y sufrieron robo de datos, publicados posteriormente en el sitio de filtraciones de ShinyHunters el 9 de junio de 2026. TrendAI (de Trend Micro) señaló explotación limitada hasta ahora, pero con investigación en curso. Google compartió recomendaciones de endurecimiento y detalles técnicos junto con indicadores de compromiso; Oracle aún no ha respondido públicamente a todas las consultas sobre explotación real en campo.

Versiones Afectadas

Producto Versiones afectadas Versiones no afectadas
PeopleSoft Enterprise PeopleTools 8.61, 8.62 No confirmado / información no disponible
PeopleSoft Enterprise Applications Versiones afectadas no especificadas en el aviso No confirmado / información no disponible

Recomendaciones

- Aplicar inmediatamente las mitigaciones provisionales publicadas por Oracle y monitorear actualizaciones para instalar parches oficiales cuando estén disponibles.
- Segmentar redes y restringir acceso a interfaces de PeopleSoft expuestas públicamente; limitar conexiones de gestión remota a zonas seguras.
- Revisar y bloquear tráfico y agentes de MeshCentral no autorizados; auditar procesos y servicios instalados en servidores PeopleSoft.
- Habilitar y revisar logs de auditoría, detección y respuesta (EDR), y buscar indicadores de compromiso relacionados con ejecuciones remotas, agentes personalizados y el script _fanout.sh.
- Notificar a equipos legales y de respuesta a incidentes ante cualquier indicio de filtración; considerar rotación de credenciales y revisión de accesos privilegiados.
- Implementar controles de exfiltración de datos y revisar posibles publicaciones en sitios de filtraciones para identificar datos comprometidos y notificar a afectados.

Indicadores de Compromiso (IoCs)

Indicador (IoC) Tipo
142[.]11[.]200[.]186 IPV4
142[.]11[.]200[.]187 IPV4
142[.]11[.]200[.]188 IPV4
142[.]11[.]200[.]189 IPV4
142[.]11[.]200[.]190 IPV4
176[.]120[.]22[.]24 IPV4
108[.]174[.]202[[.]]99 IPV4
azurenetfiles[.]net URL
f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc SHA
d83fdb9e53c5ff03c4cb0451ea1bebd79b53f29eadc1e2fa394c7af13a86ce2f SHA
c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f SHA

CVEs

CVE-2026-35273

Taxonomía

ID Táctica Nombre Táctica Técnicas Relacionadas
TA0001 Inicial Access
  • T1190: Exploit Public-Facing Application
TA0002 Ejecución
  • T1059: Command and Scripting Interpreter
TA0008 Lateral Movement
  • T1021: Remote Services
TA0010 Exfiltración
  • T1041: Exfiltration Over C2 Channel

Referencias

https://www.securityweek.com/google-confirms-exploitation-of-oracle-peoplesoft-zero-day-by-shinyhunters/

https://blackkite.com/blog/shinyhunters-hit-oracle-peoplesoft-and-your-vendors-may-already-be-compromised

https://www.esentire.com/security-advisories/oracle-peoplesoft-zero-day-vulnerability-cve-2026-35273-exploited-by-shinyhunters

https://www.oracle.com/security-alerts/alert-cve-2026-35273.html

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más