Table of Contents
El grupo de ciberdelincuentes ShinyHunters fue vinculado a una campaña masiva de ataques informáticos que aprovechó una vulnerabilidad crítica de Oracle PeopleSoft, comprometiendo a más de 100 organizaciones en distintos países, según un informe publicado por Mandiant, la unidad de respuesta a incidentes de Google.
La mayoría de las organizaciones afectadas se encuentran en Estados Unidos y más de dos terceras partes corresponden a universidades y centros educativos.
Una falla crítica permitió el ataque
Los atacantes explotaron la vulnerabilidad CVE-2026-35273, localizada en el componente Environment Management de Oracle PeopleSoft PeopleTools versiones 8.61 y 8.62.
La falla posee una puntuación de 9.8 sobre 10 en la escala CVSS, considerada crítica, ya que permite la ejecución remota de código sin necesidad de autenticación.
Los ataques ocurrieron entre el 27 de mayo y el 9 de junio de 2026.
Más de 100 organizaciones fueron notificadas
Mandiant informó que notificó a más de un centenar de organizaciones que podrían haber sido comprometidas.
Entre las víctimas confirmadas se encuentra la Universidad de Nottingham, que reconoció el robo de una cantidad importante de información perteneciente a sus registros estudiantiles.
La institución señaló que el caso ya forma parte de una investigación criminal.
La información robada ya fue publicada
De acuerdo con Mandiant, algunas organizaciones lograron bloquear el ataque o corregir la vulnerabilidad a tiempo.
Sin embargo, otras fueron comprometidas y parte de la información robada fue publicada por ShinyHunters en su sitio de filtraciones de datos.
CISA confirma explotación en ataques de ransomware
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) añadió la vulnerabilidad a su catálogo de Known Exploited Vulnerabilities (KEV) y confirmó que ya ha sido utilizada en campañas de ransomware.
Como medida urgente, las agencias federales estadounidenses recibieron instrucciones para corregir la falla en un plazo inmediato.
¿Cómo operaron los atacantes?
Según la investigación, los ciberdelincuentes utilizaron agentes personalizados de MeshCentral, una plataforma de administración remota de código abierto.
Estos componentes fueron disfrazados como servicios legítimos en la nube para evitar ser detectados mientras obtenían acceso a los servidores comprometidos.
Recomendaciones para los administradores
Mandiant recomienda a las organizaciones que utilizan Oracle PeopleSoft:
- Deshabilitar el Environment Management Hub en instalaciones con múltiples servidores.
- Eliminar el componente PSEM Hub en instalaciones de un solo servidor.
- Supervisar el tráfico saliente mediante registros del firewall y herramientas NetFlow.
- Aplicar inmediatamente las actualizaciones de seguridad publicadas por Oracle.
- Revisar posibles conexiones hacia destinos externos no confiables.
Universidades, uno de los principales objetivos
Especialistas de Halcyon señalaron que esta campaña continúa una tendencia reciente de ShinyHunters, grupo que también fue relacionado con los ataques contra Canvas, la plataforma educativa desarrollada por Instructure.
Los investigadores advierten que la información obtenida de universidades puede utilizarse posteriormente para campañas de phishing, robo de identidad y extorsión dirigidas contra estudiantes, profesores y personal administrativo.
La campaña pone nuevamente de manifiesto el creciente interés de los grupos de ciberdelincuencia por atacar instituciones educativas debido al gran volumen de información personal y académica que almacenan.
