🗞️ Contexte

Source : The Register, publié le 15 juin 2026. L’article rapporte une campagne d’intrusion massive menée par le groupe cybercriminel ShinyHunters, exploitant une vulnérabilité zero-day dans Oracle PeopleSoft (CVE-2026-35273) pour compromettre plus de 100 organisations à travers le monde.

🎯 Victime principale et données volées

Le Conseil de l’Europe est la dernière victime confirmée de cette campagne. ShinyHunters revendique le vol de 297 Go de données représentant 429 000 fichiers, incluant :

  • Dossiers RH et de paie
  • Bulletins de salaire
  • Bons de commande
  • CV
  • Données bancaires, fiscales et médicales des employés

Le Conseil de l’Europe a confirmé être en cours d’investigation sans commenter davantage.

🔓 Vulnérabilité exploitée

La faille CVE-2026-35273 dans Oracle PeopleSoft a été exploitée sur plus de 300 instances vulnérables appartenant à plus de 100 organisations. Oracle n’a pas encore répondu aux demandes de commentaire et le statut du patch reste inconnu.

Un rapport Google Threat Intelligence publié fin de la semaine précédente signale une activité malveillante cohérente avec l’exploitation de cette CVE entre le 27 mai et le 9 juin 2026, avec notification de plus de 100 organisations mondiales dont les adresses IP correspondaient à des endpoints potentiellement vulnérables. 68 % des organisations concernées opèrent dans le secteur de l’enseignement supérieur, majoritairement basées aux États-Unis.

🏫 Autres victimes identifiées

  • Université de Nottingham : données de ~454 600 étudiants actuels et anciens (dossiers personnels et académiques) publiées sur le site de fuite du groupe.
  • Instructure (Canvas) : plateforme ed-tech ayant conclu un accord (paiement de rançon implicite) après le vol de données liées à 275 millions d’étudiants, enseignants et personnels.
  • Infinite Campus : fournisseur de logiciels K-12 ciblé dans une vague d’intrusions liées à Salesforce en mars ; données de 137 000 individus publiées après refus de paiement.

📋 Type d’article

Article de presse spécialisée relatant une campagne d’extorsion active, visant à informer sur l’étendue de la compromission, les victimes identifiées et la vulnérabilité exploitée.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1657 — Financial Theft (Impact)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1567.002 — Exfiltration to Cloud Storage (Exfiltration)

IOC

  • CVEs : CVE-2026-35273NVD · CIRCL

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 3665 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.theregister.com/cyber-crime/2026/06/15/council-of-europe-hacked-in-shinyhunters-peoplesoft-heist/5255757