ShinyHunters Serang Oracle PeopleSoft Zero-Day: Kampanye Pencurian Data Melibatkan Universitas dan Taktik Ekstraksi Cepat

Serangan terbaru yang melibatkan kelompok ShinyHunters kini menjadi sorotan karena memanfaatkan kerentanan zero-day di Oracle PeopleSoft, sebuah platform enterprise yang banyak digunakan oleh institusi pendidikan dan perusahaan besar. Pada periode antara 27 Mei hingga 9 Juni 2026, kelompok ini berhasil mengeksploitasi CVE-2026-35273, sebuah celah remote code execution (RCE) yang memungkinkan akses penuh ke server tanpa memerlukan kredensial login atau interaksi pengguna. Temuan ini diungkap oleh Google Mandiant, yang mengidentifikasi kelompok ini sebagai UNC6240, dan menunjukkan betapa rentannya sistem yang tidak segera menerapkan perbaikan atau mitigasi.

Oracle baru merilis advisory resmi pada 10 Juni, yang berarti celah tersebut telah menjadi zero-day selama hampir dua minggu. Skala serangan ini terbilang luas, dengan mayoritas korban berasal dari sektor pendidikan, khususnya universitas. Hal ini menunjukkan bahwa kelompok ShinyHunters secara sengaja menargetkan institusi akademis, kemungkinan karena sistem mereka sering kali memiliki data sensitif seperti catatan mahasiswa, penelitian, dan informasi keuangan. Serangan ini juga menyoroti pentingnya keamanan siber yang proaktif, terutama bagi organisasi yang menggunakan perangkat lunak enterprise seperti PeopleSoft.

Bagaimana CVE-2026-35273 Dapat Dieksploitasi Tanpa Login atau Interaksi

CVE-2026-35273 adalah kerentanan kritis dengan skor CVSS 9.8, yang menempatkannya dalam kategori "kritis". Celah ini terletak pada komponen Updates Environment Management di Oracle PeopleSoft, bagian dari fitur Environment Management Hub (PSEMHUB). Yang membuatnya sangat berbahaya adalah tidak memerlukan autentikasi atau interaksi pengguna untuk dieksploitasi. Serangan hanya memerlukan akses jaringan melalui protokol HTTP, sehingga siapa pun yang dapat menjangkau endpoint yang terpapar berisiko menjadi korban.

Menurut laporan dari Mandiant, kerentanan ini memungkinkan penyerang untuk menjalankan kode berbahaya secara remote, yang pada akhirnya memberikan kendali penuh atas server yang terpengaruh. Oracle sendiri menyatakan bahwa perangkat lunak PeopleTools versi 8.61 dan 8.62 terdampak, tetapi juga mencatat bahwa versi yang lebih lama dan tidak lagi didukung kemungkinan juga rentan. Hal ini menimbulkan kekhawatiran lebih lanjut, karena banyak organisasi mungkin masih menggunakan versi lama yang tidak lagi menerima pembaruan resmi.

Kronologi Serangan: Dari Eksploitasi hingga Ekstraksi Data

Serangan yang dilakukan oleh ShinyHunters dimulai dengan eksploitasi terhadap CVE-2026-35273 pada akhir Mei 2026. Kelompok ini kemudian melakukan pergerakan lateral di dalam jaringan korban dengan menggunakan berbagai alat dan teknik. Salah satu bukti yang ditemukan oleh Mandiant adalah adanya server Python SimpleHTTP yang diekspos secara publik. Server ini menjalankan port 8888 dan berisi berbagai file staging yang digunakan oleh penyerang.

Di antara file-file tersebut terdapat .bash_history yang mencatat aktivitas command-line penyerang, agen remote-management bernama MeshCentral yang disamarkan sebagai binary Microsoft Azure, serta skrip lateral movement bernama [victim]_fanout.sh. Skrip ini dirancang untuk menyebar melalui protokol SSH dengan menggunakan daftar username dan password yang telah di-hardcode. Setelah berhasil masuk ke sistem internal, penyerang meninggalkan file penanda bernama README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT di direktori PeopleSoft, yang berfungsi sebagai indikator bahwa sistem telah dikompromikan.

Data yang dicuri kemudian dikompres menggunakan algoritma zstd dan dikirimkan melalui koneksi SSH keluar ke server yang menjadi pusat kendali ShinyHunters. Salah satu server yang digunakan memiliki nama domain azurenetfiles.net, yang sengaja dipilih untuk menyerupai layanan Azure NetApp Files milik Microsoft, sehingga sulit dideteksi. Aktivitas ini menunjukkan tingkat kecanggihan yang tinggi dari kelompok ini dalam menyembunyikan jejak dan menghindari deteksi oleh sistem keamanan korban.

Dampak terhadap Universitas dan Risiko Data Pribadi

Mayoritas korban yang teridentifikasi oleh Mandiant berasal dari sektor pendidikan, khususnya universitas. Hal ini tidak mengherankan mengingat institusi pendidikan sering kali memiliki data sensitif yang sangat berharga di pasar gelap, seperti informasi pribadi mahasiswa, data penelitian, dan catatan keuangan. Serangan terhadap universitas juga dapat berdampak pada operasional akademis, termasuk gangguan layanan, kerugian reputasi, dan potensi tuntutan hukum dari pihak yang terdampak.

Selain data pribadi, serangan ini juga dapat menyebabkan pencurian data penelitian yang bersifat rahasia atau berharga secara komersial. Banyak universitas yang terlibat dalam kolaborasi dengan industri atau lembaga pemerintah, sehingga kehilangan data tersebut dapat berdampak luas tidak hanya pada institusi itu sendiri, tetapi juga mitra eksternalnya. Lebih lanjut, kelompok ShinyHunters diketahui memiliki sejarah dalam melakukan serangan ransomware dan pencurian data untuk kemudian menuntut tebusan, sehingga korban tidak hanya menghadapi risiko kehilangan data, tetapi juga tekanan finansial.

Respons Oracle dan Keterlambatan Publikasi Advisory

Salah satu aspek yang mengejutkan dari serangan ini adalah keterlambatan Oracle dalam merilis advisory resmi. Meskipun aktivitas serangan terdeteksi sejak akhir Mei, Oracle baru mengumumkan kerentanan tersebut pada 10 Juni. Hal ini berarti bahwa selama hampir dua minggu, organisasi yang menggunakan PeopleSoft tidak memiliki informasi resmi mengenai ancaman yang mereka hadapi, sehingga mereka tidak dapat menerapkan perbaikan atau mitigasi yang tepat.

Dalam advisory yang dirilis, Oracle menyebutkan bahwa perbaikan tersedia melalui dokumen yang hanya dapat diakses oleh pelanggan dengan akun support aktif. Hal ini menimbulkan pertanyaan mengenai aksesibilitas perbaikan, terutama bagi organisasi yang tidak memiliki kontrak support aktif dengan Oracle. Selain itu, Oracle juga tidak secara terbuka mengonfirmasi apakah mereka telah melihat adanya eksploitasi terhadap kerentanan ini di lapangan, meskipun Mandiant telah mengonfirmasi bahwa serangan sedang berlangsung.

Taktik dan Teknik yang Digunakan ShinyHunters

ShinyHunters, atau kelompok yang dilacak oleh Mandiant sebagai UNC6240, dikenal dengan taktiknya yang agresif dan efisien dalam mengeksekusi serangan. Dalam serangan terhadap PeopleSoft, kelompok ini menggunakan kombinasi alat-alat yang umum digunakan oleh kelompok cybercrime, tetapi dengan modifikasi untuk menghindari deteksi. Salah satu contohnya adalah penggunaan agen remote-management MeshCentral yang disamarkan sebagai binary Microsoft Azure. Modifikasi semacam ini memungkinkan penyerang untuk tetap tersembunyi di balik proses yang sah dan sulit dideteksi oleh sistem keamanan.

Selain itu, kelompok ini juga menggunakan skrip lateral movement yang dirancang untuk menyebar dengan cepat ke sistem internal. Skrip [victim]_fanout.sh menggunakan daftar username dan password yang telah di-hardcode untuk mencoba masuk ke sistem lain melalui protokol SSH. Pendekatan ini menunjukkan bahwa ShinyHunters memiliki pemahaman yang mendalam tentang lingkungan korban dan mampu memanfaatkan kelemahan yang ada untuk melakukan pergerakan lateral secara efisien.

Mitigasi dan Langkah-Langkah Perlindungan yang Harus Segera Dilakukan

Bagi organisasi yang menggunakan Oracle PeopleSoft, terutama yang memiliki Environment Management Hub (PSEMHUB) yang dapat diakses dari luar, langkah-langkah mitigasi harus segera diterapkan. Oracle sendiri telah memberikan rekomendasi untuk membatasi akses ke endpoint yang rentan, tetapi tindakan lebih lanjut mungkin diperlukan untuk memastikan keamanan sistem.

Salah satu langkah awal yang dapat dilakukan adalah dengan memblokir akses eksternal ke komponen Updates Environment Management hingga perbaikan resmi diterapkan. Selain itu, organisasi juga harus memeriksa apakah sistem mereka menjalankan versi PeopleTools yang terdampak, yaitu 8.61 atau 8.62. Jika ya, segera terapkan perbaikan yang disediakan oleh Oracle atau hubungi tim support untuk mendapatkan akses ke perbaikan tersebut. Bagi organisasi yang masih menggunakan versi lama yang tidak lagi didukung, pertimbangkan untuk melakukan upgrade atau menerapkan lapisan keamanan tambahan untuk mengurangi risiko eksploitasi.

Selain itu, organisasi juga harus meningkatkan pemantauan terhadap aktivitas jaringan dan sistem untuk mendeteksi indikasi adanya eksploitasi atau pergerakan lateral. Penerapan sistem deteksi intrusi (IDS) dan penggunaan tools SIEM (Security Information and Event Management) dapat membantu dalam mengidentifikasi aktivitas mencurigakan sejak dini. Laporan dari Mandiant juga menunjukkan bahwa kelompok ShinyHunters meninggalkan jejak berupa file penanda, sehingga pemindaian rutin terhadap sistem dapat membantu mendeteksi kompromi yang sudah terjadi.

Masa Depan Keamanan Perangkat Lunak Enterprise: Pelajaran dari Serangan Ini

Serangan terhadap Oracle PeopleSoft oleh ShinyHunters menjadi pengingat bahwa tidak ada sistem yang benar-benar aman, terutama jika celah keamanan tidak segera ditangani. Keterlambatan Oracle dalam merilis advisory resmi menunjukkan pentingnya transparansi dan komunikasi yang cepat dari vendor perangkat lunak dalam menghadapi ancaman siber. Organisasi yang menggunakan perangkat lunak enterprise harus lebih proaktif dalam memantau ancaman dan menerapkan perbaikan segera setelah tersedia.

Selain itu, serangan ini juga menekankan perlunya kolaborasi antara vendor, peneliti keamanan, dan organisasi pengguna untuk mengidentifikasi dan menangani kerentanan secara cepat. Kelompok seperti ShinyHunters terus berkembang dan menggunakan taktik yang semakin canggih, sehingga organisasi harus terus meningkatkan kemampuan keamanan siber mereka. Investasi dalam pelatihan karyawan, penerapan praktik keamanan yang ketat, dan penggunaan tools keamanan yang mutakhir dapat membantu mengurangi risiko serangan di masa depan.

Bagi universitas dan institusi pendidikan, serangan ini menjadi peringatan keras untuk lebih memperhatikan keamanan data sensitif yang mereka miliki. Dengan semakin meningkatnya serangan terhadap sektor pendidikan, institusi harus memprioritaskan keamanan siber sebagai bagian dari strategi operasional mereka. Hal ini termasuk penerapan enkripsi data, pembatasan akses, dan pemantauan aktivitas jaringan secara terus-menerus.

Apa yang Harus Dilakukan oleh Korban Potensial?

Bagi organisasi yang mencurigai telah menjadi korban serangan ShinyHunters, langkah-langkah berikut dapat membantu meminimalkan dampak dan mencegah kerugian lebih lanjut. Pertama, lakukan isolasi sistem yang terdampak untuk mencegah penyebaran lebih lanjut ke sistem lain dalam jaringan. Kedua, lakukan pencarian menyeluruh terhadap indikator kompromi, seperti file penanda yang disebutkan sebelumnya atau aktivitas mencurigakan dalam log sistem.

Ketiga, laporkan insiden ke tim keamanan internal atau pihak ketiga yang kompeten untuk melakukan investigasi lebih lanjut. Keempat, pertimbangkan untuk menghubungi pihak berwenang jika data sensitif telah dicuri, terutama jika mencakup informasi pribadi yang diatur oleh undang-undang perlindungan data. Terakhir, tinjau kembali kebijakan keamanan dan prosedur yang ada untuk mengidentifikasi area yang perlu ditingkatkan guna mencegah serangan serupa di masa depan.

Serangan ShinyHunters terhadap Oracle PeopleSoft adalah pengingat bahwa ancaman siber terus berkembang dan tidak mengenal batas sektor. Bagi organisasi, terutama yang menggunakan perangkat lunak enterprise, tindakan proaktif dan responsif terhadap ancaman adalah kunci untuk menjaga keamanan data dan operasional bisnis. Dengan menerapkan langkah-langkah mitigasi yang tepat, memantau ancaman secara terus-menerus, dan berkolaborasi dengan vendor serta komunitas keamanan, organisasi dapat mengurangi risiko menjadi korban serangan siber di masa depan.