🔍 Contexte

Rapport publié le 11 juin 2026 par Mandiant et le Google Threat Intelligence Group (GTIG), documentant une campagne active d’exploitation et d’extorsion attribuée à UNC6240 (ShinyHunters) ciblant des infrastructures Oracle PeopleSoft.

🎯 Campagne et ciblage

L’activité a été observée entre le 27 mai 2026 et le 9 juin 2026. Plus de 100 organisations mondiales ont été notifiées, dont 68% appartiennent au secteur de l’enseignement supérieur (universités et collèges), principalement basées aux États-Unis. Les données volées ont été publiées sur le Data Leak Site (DLS) de ShinyHunters le 9 juin 2026.

💥 Vulnérabilité exploitée

  • CVE-2026-35273 : vulnérabilité critique d’exécution de code à distance (RCE) dans le composant Environment Management d’Oracle PeopleSoft
  • CVSS : 9.8, exploitable sans authentification
  • Exploitée en zero-day : l’advisory Oracle n’a été publié que le 10 juin 2026, après le début de la campagne
  • Vecteur d’attaque : endpoints PSEMHUB (/PSEMHUB/hub, /PSIGW/HttpListeningConnector)

🛠️ Infrastructure et outils

Cinq adresses IP séquentielles (142.11.200.186 à 142.11.200.190) hébergeaient des serveurs Python SimpleHTTP sur le port 8888, exposant des répertoires de staging contenant :

  • Des agents MeshCentral Windows préconfigurés déguisés en services Microsoft Azure :
    • meshagent32-azure-ops.exe
    • meshagent64-azure-ops.exe
    • meshagent64-v2.exe
  • Un agent Linux MeshCentral non configuré
  • Le C2 hardcodé : wss://azurenetfiles.net:443/agent.ashx (domaine imitant Microsoft Azure NetApp Files)
  • Des certificats SSL Let’s Encrypt automatisés via le package npm acme-client

🔄 Chaîne d’attaque

  1. Exploitation de CVE-2026-35273 via les endpoints PSEMHUB
  2. Déploiement de webshells (fichiers .jsp non légitimes dans PSEMHUB.war)
  3. Reconnaissance interne : inspection de psappsrv.cfg, config.xml, montages NFS, fichiers /etc/hosts
  4. Mouvement latéral via le script [victim_abbreviation]_fanout.sh : SSH credential spraying sur les hôtes internes PeopleSoft avec des identifiants hardcodés
  5. Marquage d’extorsion : dépôt du fichier README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT dans les répertoires WebLogic et Process Scheduler
  6. Exfiltration : compression des données avec zstd et connexion SSH sortante vers 176.120.22.24 (miroir public du DLS ShinyHunters)

📋 Type d’article

Analyse technique et rapport d’incident produit par Mandiant/GTIG, visant à documenter la campagne, fournir des IOCs exploitables et guider la remédiation des organisations utilisant Oracle PeopleSoft.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1083 — File and Directory Discovery (Discovery)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)

IOC

  • IPv4 : 142.11.200.186AbuseIPDB · VT · ThreatFox
  • IPv4 : 142.11.200.187AbuseIPDB · VT · ThreatFox
  • IPv4 : 142.11.200.188AbuseIPDB · VT · ThreatFox
  • IPv4 : 142.11.200.189AbuseIPDB · VT · ThreatFox
  • IPv4 : 142.11.200.190AbuseIPDB · VT · ThreatFox
  • IPv4 : 176.120.22.24AbuseIPDB · VT · ThreatFox
  • Domaines : azurenetfiles.netVT · URLhaus · ThreatFox
  • URLs : wss://azurenetfiles.net:443/agent.ashxURLhaus
  • CVEs : CVE-2026-35273NVD · CIRCL
  • Fichiers : meshagent32-azure-ops.exe
  • Fichiers : meshagent64-azure-ops.exe
  • Fichiers : meshagent64-v2.exe
  • Fichiers : meshagent
  • Fichiers : README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT
  • Fichiers : _fanout.sh
  • Chemins : /tmp/[victim_abbreviation]_fanout.sh
  • Chemins : /PSEMHUB.war/envmetadata/transactions/
  • Chemins : /webserv//applications/peoplesoft/PSEMHUB.war/
  • Chemins : /u01/app/psoft/ps_config_homes/csprd/webserv/
  • Chemins : /u01/app/psoft/ps_config_homes/csprd

Malware / Outils

  • MeshCentral (rat)
  • sshpass (tool)
  • zstd (tool)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ cloud.google.com — source reconnue (liste interne) (20pts)
  • ✅ 15253 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 20 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 4/5 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 142.11.200.186 (ip) → VT (3/91 détections)
  • 142.11.200.187 (ip) → VT (6/91 détections)
  • 142.11.200.188 (ip) → VT (5/91 détections)
  • azurenetfiles.net (domain) → VT (20/91 détections)

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/shinyhunters-targets-education-sector-oracle-exploit?hl=en