🗓️ Contexte
Source : BleepingComputer, publié le 10 juin 2026. L’article rapporte des attaques en cours ciblant des serveurs Oracle PeopleSoft (cloud et on-premises), revendiquées par le groupe d’extorsion ShinyHunters.
🎯 Nature de l’attaque
ShinyHunters affirme avoir compromis 300 instances réparties sur plus de 100 organisations, en utilisant une “gadget chain” combinant des vulnérabilités connues et des zero-days. Le groupe précise que l’exploitation n’est pas systématique et dépend de la configuration des instances ciblées.
🏫 Secteurs et victimes
- Le secteur le plus touché est l’éducation, avec de nombreuses organisations déjà extorquées par le passé.
- Nottingham University est confirmée comme victime, ses données ayant été publiées sur le site de fuite de ShinyHunters. L’université a publié un communiqué reconnaissant l’incident.
- Le groupe a tenté sans succès de compromettre un portail FBI fonctionnant sous PeopleSoft.
🔧 Outillage et méthodes
Le chercheur en sécurité “Michael R” a découvert des répertoires exposés contenant :
- Des agents MeshCentral
- Un script de défacement et de credential spray
- Des fichiers
.bash_historyrévélant le fonctionnement d’un script shell malveillant
Le script malveillant :
- Parse
/etc/hostspour identifier les systèmes PeopleSoft - Tente des connexions SSH avec des comptes administratifs courants (
psoft,oracle,linuxadm) - Utilise l’authentification par clé SSH en fallback si l’authentification par mot de passe échoue
- Dépose une note de rançon (
README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT) dans les répertoires des serveurs web et applicatifs PeopleSoft
🌐 Infrastructure
Sept adresses IP ont été identifiées comme IOCs. Cinq d’entre elles utilisent un certificat TLS avec le Common Name azurenetfiles[.]net, domaine précédemment associé à ShinyHunters.
📋 Type d’article
Article de presse spécialisée à visée informationnelle, combinant des éléments d’annonce d’incident et d’analyse technique partielle, basé sur des déclarations du threat actor et les découvertes d’un chercheur indépendant.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1110.001 — Brute Force: Password Guessing (Credential Access)
- T1021.004 — Remote Services: SSH (Lateral Movement)
- T1078 — Valid Accounts (Defense Evasion)
- T1098.004 — Account Manipulation: SSH Authorized Keys (Persistence)
- T1486 — Data Encrypted for Impact (Impact)
- T1657 — Financial Theft (Impact)
- T1005 — Data from Local System (Collection)
- T1560 — Archive Collected Data (Collection)
IOC
- IPv4 :
142.11.200.186— AbuseIPDB · VT · ThreatFox - IPv4 :
142.11.200.187— AbuseIPDB · VT · ThreatFox - IPv4 :
142.11.200.188— AbuseIPDB · VT · ThreatFox - IPv4 :
142.11.200.189— AbuseIPDB · VT · ThreatFox - IPv4 :
142.11.200.190— AbuseIPDB · VT · ThreatFox - IPv4 :
108.174.202.99— AbuseIPDB · VT · ThreatFox - IPv4 :
176.120.22.24— AbuseIPDB · VT · ThreatFox - Domaines :
azurenetfiles.net— VT · URLhaus · ThreatFox - Fichiers :
README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT - Chemins :
/etc/hosts
Malware / Outils
- MeshCentral (rat)
🟢 Indice de vérification factuelle : 77/100 (haute)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 4380 chars — texte complet (15pts)
- ✅ 10 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 2/4 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (12pts)
- ✅ 9 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
142.11.200.187(ip) → VT (3/91 détections)azurenetfiles.net(domain) → VT (18/91 détections)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/oracle-peoplesoft-servers-hacked-in-shinyhunters-data-theft-attacks/