Google Mandiant y el Género de Inteligencia de Amenazos de Google (GTIG) han revelado que están rastreando un nuevo clúster de actividad posiblemente vinculado a un actor de amenaza de motivación financiera conocido como CL0P.
La actividad maliciosa implica despachar correos electrónicos de perturbación a ejecutivos en varias organizaciones y afirmar que robaron datos confidenciales de su suite Oracle E-Business.
«Esta actividad comenzó el 29 de septiembre de 2025 o ayer, pero los expertos de Mandiant todavía se encuentran en las primeras etapas de múltiples investigaciones, y aún no han justificado las afirmaciones hechas por este clan», Genevieve Stark, caudillo de examen de inteligencia de operaciones cibernéticas y de cibercrimen en GTIG, le dijo a Hacker News en un comunicado.
Stark dijo por otra parte que la orientación es oportunista, en circunstancia de centrarse en industrias específicas, unir este modus operandi es consistente con la actividad previa asociada con el sitio de fuga de datos CL0P.
El CTO Mandiant Charles Carmakal describió la actividad en curso como una «campaña de correo electrónico de suspensión bulto» que se lanzó a partir de cientos de cuentas comprometidas, con evidencia que sugiere que al menos una de esas cuentas se ha asociado previamente con la actividad de FIN11, que es un subconjunto internamente del clan TA505.
Fin11, por mandiante, se ha involucrado en ataques de ransomware y perturbación desde 2020. Anteriormente, estaba vinculada a la distribución de varias familias de malware como Flawedammyy, Friendspeak y MixLabel.
«Los correos electrónicos maliciosos contienen información de contacto, y hemos verificado que las dos direcciones de contacto específicas proporcionadas igualmente se enumeran públicamente en el sitio de fuga de datos CL0P (DLS)», agregó Carmakal. «Este movimiento sugiere fuertemente que hay alguna asociación con CL0P, y están aprovechando el agradecimiento de la marca para su operación flagrante».
Dicho esto, Google dijo que no tiene ninguna evidencia por sí solo para confirmar los supuestos lazos, a pesar de las similitudes en las tácticas observadas en ataques CL0P anteriores. La compañía igualmente insta a las organizaciones a investigar sus entornos para la evidencia de la actividad del actor de amenazas.
Actualmente no está claro cómo se obtiene el acercamiento original. Sin retención, según Bloomberg, se cree que los atacantes comprometieron los correos electrónicos de los usuarios y abusaron de la función de restablecimiento de contraseña predeterminada para obtener credenciales válidas de los portales de Oracle E-Business Suite, citando información compartida por Halycon.
Cuando se le contactó para hacer comentarios, Oracle le dijo a The Hacker News que es «consciente de que algunos clientes de Oracle E-Business Suite (EBS) han recibido correos electrónicos de perturbación» y que su investigación continua ha incompatible el «uso potencial de vulnerabilidades previamente identificadas que se abordan en la modernización de parche crítico de julio de 2025».
Rob Duhart, director de seguridad de Oracle Corporation, igualmente ha instado a los clientes a aplicar la última modernización de parche crítico para asegurar contra la amenaza. La compañía, sin retención, no dijo qué vulnerabilidades están bajo explotación activa.
En los últimos primaveras, el clan CL0P mucho prolífico se ha atribuido a una serie de ondas de ataque que explotan fallas de día cero en el TLC de precipitación, SolarWinds Serv-U FTP, Fortra Goanywhere MFT y las plataformas de transferencia de movimientos de progreso, incumpliendo con éxito miles de organizaciones.
Desempolvar
La compañía de ciberseguridad Halcyon, en un crónica publicado el jueves, dijo que los atacantes están abusando de la función de restablecimiento de contraseña predeterminada para obtener credenciales válidas. Específicamente, se podio en las cuentas locales de Oracle EBS, evitando las protecciones de SSO oportuno a la desliz de MFA en estas cuentas, lo que permite a los actores de amenaza activar los restablecimientos de contraseña a través de cuentas de correo electrónico comprometidas y obtener acercamiento válido a los usuarios.
«Las cuentas locales evitan los controles SSO empresariales y, a menudo, carecen de MFA, dejando a miles de organizaciones expuestas», dijo en una alerta. «Las demandas de rescate han pillado hasta $ 50 millones, y los atacantes proporcionan pruebas de compromiso, incluidas capturas de pantalla y árboles de archivos».
(La historia se actualizó posteriormente de la publicación para incluir una respuesta de Oracle y Google, y detalles adicionales de Halcyon).
