ShinyHunters aprovecha vulnerabilidad crítica no parcheada en Oracle PeopleSoft para atacar universidades

El exploit de ShinyHunters que expuso a las universidades

Entre finales de mayo y principios de junio de 2026, el grupo de extorsión ShinyHunters aprovechó un fallo crítico no parcheado en Oracle PeopleSoft para infiltrarse en sistemas universitarios y corporativos. Según la atribución de Mandiant (Google), la campaña afectó principalmente a instituciones académicas, robando datos sensibles y exigiendo pagos para evitar su publicación. El error, identificado como CVE-2026-35273, permitía la ejecución remota de código sin necesidad de autenticación ni interacción del usuario, lo que lo convertía en una amenaza especialmente peligrosa. Oracle solo publicó su aviso de seguridad el 10 de junio de 2026, lo que significa que durante casi dos semanas el fallo fue un zero-day explotado activamente.

La vulnerabilidad residía en el componente Updates Environment Management de PeopleSoft Enterprise PeopleTools, específicamente en el Environment Management Hub (PSEMHUB). Este módulo, accesible a través de HTTP, permitía a los atacantes tomar el control total del servidor con solo acceso a la red. Oracle confirmó que las versiones 8.61 y 8.62 de PeopleTools eran afectadas, aunque advirtió que versiones anteriores no soportadas también podrían ser vulnerables. El fallo fue reportado a Oracle por investigadores de TrendAI Zero Day Initiative y TrendAI Research, aunque la compañía no ha detallado si ha observado explotación directa en sus sistemas.

Cómo funcionó el ataque: de la explotación a la exfiltración

Los atacantes aprovecharon la falta de parches para desplegar un ataque automatizado que escalaba rápidamente desde la intrusión inicial hasta la exfiltración de datos. Según los análisis de Mandiant, el proceso comenzaba con la explotación del CVE-2026-35273 para ganar acceso al servidor PeopleSoft. Una vez dentro, los atacantes instalaban herramientas de gestión remota personalizadas, como agentes disfrazados de binarios de Microsoft Azure, que se comunicaban con un servidor de comando y control (C2) alojado en el dominio azurenetfiles.net. Este nombre fue elegido deliberadamente para imitar servicios legítimos de Azure, como Azure NetApp Files, con el objetivo de pasar desapercibido en el tráfico de red.

Los investigadores descubrieron que los atacantes dejaron expuestos varios directorios abiertos en servidores comprometidos, lo que permitió a un investigador independiente (@nahamike01) identificar los archivos de staging. Entre estos se encontraban archivos de historial de comandos (.bash_history), scripts de movimiento lateral como [victim]_fanout.sh, y marcadores en los sistemas comprometidos con mensajes como README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT. El script [victim]_fanout.sh se encargaba de propagar el ataque internamente, utilizando listas predefinidas de credenciales para acceder a otros hosts mediante SSH. Además, los datos robados eran comprimidos con zstd antes de ser enviados a servidores externos, lo que dificultaba su detección en tránsito.

El impacto en universidades: datos académicos y administrativos en riesgo

Las universidades fueron el principal blanco de esta campaña, lo que subraya los riesgos asociados con sistemas críticos en el sector educativo. Los atacantes no solo buscaban información financiera o registros de estudiantes, sino también datos académicos sensibles, como investigaciones en curso o información personal de profesores y personal administrativo. El método de extorsión —amenazar con publicar los datos robados si no se pagaba un rescate— es típico de grupos como ShinyHunters, que combinan el robo de información con tácticas de presión psicológica para maximizar sus ganancias.

El impacto financiero y reputacional para las instituciones afectadas podría ser significativo. Las universidades suelen manejar grandes volúmenes de datos sensibles, y una brecha de este tipo puede afectar la confianza de estudiantes, profesores y donantes. Además, el tiempo de inactividad de los sistemas PeopleSoft durante la respuesta al incidente puede interrumpir servicios críticos, como matrículas, nóminas o investigación. Mandiant notificó a más de 100 organizaciones cuyos sistemas coincidían con los patrones de explotación observados, lo que sugiere que el alcance del ataque fue amplio y no limitado a unas pocas instituciones.

El fallo técnico: por qué CVE-2026-35273 es tan peligroso

Con una puntuación CVSS de 9.8 sobre 10, el CVE-2026-35273 es uno de los fallos más graves reportados en Oracle PeopleSoft en los últimos años. La gravedad se debe a varios factores: primero, no requiere autenticación para ser explotado, lo que significa que cualquier atacante con acceso a la red puede intentar aprovecharlo. Segundo, no necesita interacción del usuario, lo que lo hace ideal para ataques automatizados. Tercero, el componente afectado, Updates Environment Management, es comúnmente expuesto en entornos empresariales para facilitar la gestión remota, lo que aumenta la superficie de ataque.

La explotación exitosa del fallo permite a los atacantes ejecutar código arbitrario en el servidor, lo que puede llevar a una toma de control completa del sistema. Esto incluye la capacidad de instalar software malicioso, moverse lateralmente dentro de la red y exfiltrar datos. Oracle clasificó el fallo como de alta prioridad, pero su aviso de seguridad no proporcionó detalles específicos sobre la disponibilidad de parches, limitándose a un documento de disponibilidad detrás de un inicio de sesión de soporte. Esta falta de transparencia puede dificultar que las organizaciones afectadas evalúen rápidamente su exposición y tomen medidas correctivas.

Respuesta de Oracle y lecciones para los administradores de PeopleSoft

Oracle publicó su aviso de seguridad el 10 de junio de 2026, días después de que se hiciera pública la explotación activa por parte de ShinyHunters. Sin embargo, la compañía no ha confirmado si ha observado ataques directos contra sus clientes, lo que deja a los administradores de sistemas en una posición incierta. Aunque Oracle mencionó que las versiones 8.61 y 8.62 de PeopleTools eran afectadas, no aclaró si versiones anteriores no soportadas también lo eran, lo que podría dejar a algunos usuarios sin opciones de parcheo.

Para los administradores de PeopleSoft, las medidas inmediatas incluyen restringir el acceso al Environment Management Hub (PSEMHUB) para que no sea accesible desde Internet. También es recomendable revisar los registros de red en busca de conexiones sospechosas al dominio azurenetfiles.net y otros indicadores de compromiso (IOCs) asociados con esta campaña. Mandiant ha proporcionado orientación sobre cómo identificar y mitigar la explotación de este fallo, aunque la falta de un parche oficial complica la situación. Las organizaciones deben priorizar la segmentación de la red y la implementación de controles de acceso estrictos para limitar el movimiento lateral en caso de una intrusión.

Herramientas y tácticas de ShinyHunters: un vistazo a su infraestructura

El análisis de Mandiant reveló detalles fascinantes sobre la infraestructura y las herramientas utilizadas por ShinyHunters en esta campaña. Los atacantes emplearon servidores Python SimpleHTTP en el puerto 8888 para alojar archivos de staging, incluyendo scripts de movimiento lateral y herramientas de gestión remota. Uno de los hallazgos más reveladores fue el uso de binarios disfrazados como componentes de Microsoft Azure, lo que sugiere un esfuerzo deliberado por evadir la detección y aprovechar la confianza en servicios de nube legítimos.

Además, los atacantes dejaron rastros en forma de archivos de historial de comandos y marcadores en los sistemas comprometidos, lo que permitió a los investigadores reconstruir parte de su metodología. El script [victim]_fanout.sh es especialmente notable por su enfoque automatizado: utilizaba listas de credenciales para propagarse internamente a través de SSH, lo que indica una preparación meticulosa y un conocimiento profundo de los entornos de red típicos en universidades y empresas. La exfiltración de datos mediante zstd y conexiones SSH salientes a servidores externos también refleja un esfuerzo por mantener un perfil bajo durante la fase de robo de información.

¿Qué pueden hacer las organizaciones para protegerse?

Ante la explotación activa de un fallo no parcheado, las organizaciones que utilizan Oracle PeopleSoft deben actuar con urgencia. El primer paso es evaluar si sus sistemas son vulnerables, especialmente si ejecutan PeopleTools 8.61 o 8.62, o versiones anteriores no soportadas. Oracle ha instado a los clientes a aplicar los parches disponibles, pero la falta de detalles sobre la disponibilidad general de los mismos puede ser un obstáculo. Mientras tanto, las medidas de mitigación incluyen aislar el Environment Management Hub de Internet, monitorear el tráfico de red en busca de conexiones sospechosas y revisar los registros de autenticación en busca de intentos de fuerza bruta.

Las universidades y empresas también deben revisar sus políticas de gestión de credenciales, ya que los ataques como este suelen explotar contraseñas débiles o reutilizadas. La implementación de autenticación multifactor (MFA) para el acceso a sistemas críticos puede reducir significativamente el riesgo de movimientos laterales. Además, es recomendable realizar auditorías de seguridad periódicas y simulacros de respuesta a incidentes para estar preparados en caso de una intrusión. Mandiant ha proporcionado una lista de indicadores de compromiso (IOCs) asociados con esta campaña, que las organizaciones pueden utilizar para detectar actividad sospechosa en sus redes.

El futuro de los fallos zero-day en sistemas empresariales

El incidente con ShinyHunters y Oracle PeopleSoft destaca la creciente sofisticación de los grupos de extorsión y la importancia de una respuesta rápida a los fallos de seguridad. Aunque Oracle actuó con relativa prontitud al publicar su aviso, el retraso entre la explotación activa y la disponibilidad de parches dejó a muchas organizaciones expuestas. Esto subraya la necesidad de un enfoque proactivo en la gestión de vulnerabilidades, incluyendo la participación en programas de recompensa por fallos (bug bounty) y la colaboración con investigadores de seguridad.

Para los administradores de sistemas, este caso sirve como un recordatorio de que ningún software es inmune a fallos críticos, incluso aquellos con décadas de uso en entornos empresariales. La segmentación de la red, la aplicación estricta de parches y el monitoreo continuo de la actividad sospechosa son esenciales para reducir el riesgo de explotación. Además, la colaboración entre empresas, investigadores y proveedores de software puede acelerar la identificación y mitigación de fallos antes de que sean explotados por actores maliciosos.

Conclusión

El ataque de ShinyHunters a través del fallo CVE-2026-35273 en Oracle PeopleSoft es un ejemplo claro de cómo los grupos de extorsión aprovechan vulnerabilidades críticas para causar daño masivo. Con una puntuación CVSS de 9.8, la falta de parches durante casi dos semanas y un enfoque automatizado y metódico, los atacantes lograron infiltrarse en múltiples universidades y empresas, robando datos sensibles y exigiendo rescates. Aunque Oracle ha publicado orientaciones y parches, la demora en su respuesta dejó a muchas organizaciones expuestas.

Para los administradores de PeopleSoft, la prioridad ahora es aplicar medidas de mitigación inmediatas, como restringir el acceso al Environment Management Hub y revisar los registros en busca de actividad sospechosa. Las universidades y empresas también deben fortalecer sus políticas de seguridad, incluyendo la autenticación multifactor y la segmentación de la red, para reducir el riesgo de futuros ataques. Este incidente es un recordatorio de que la ciberseguridad requiere vigilancia constante y una respuesta ágil a las amenazas emergentes.