Es posible que decenas de organizaciones se hayan manido afectadas tras la explotación de día cero de una falta de seguridad en el software E-Business Suite (EBS) de Oracle desde el 9 de agosto de 2025, dijeron Google Threat Intelligence Group (GTIG) y Mandiant en un nuevo mensaje publicado el jueves.
«Todavía estamos evaluando el calibre de este incidente, pero creemos que afectó a docenas de organizaciones», dijo John Hultquist, analista cabecilla de GTIG en Google Cloud, en un comunicado compartido con The Hacker News. «Algunas campañas históricas de molestia de datos de Cl0p han tenido cientos de víctimas. Desafortunadamente, campañas de día cero a gran escalera como ésta se están convirtiendo en una característica habitual del cibercrimen».
Se estima que la actividad, que tiene algunas características asociadas con el equipo de ransomware Cl0p, ha creado múltiples vulnerabilidades distintas, incluida una falta de día cero rastreada como CVE-2025-61882 (puntuación CVSS: 9,8), para violar las redes objetivo y filtrar datos confidenciales. Google dijo que encontró evidencia de actividad sospechosa adicional que se remonta al 10 de julio de 2025, aunque aún se desconoce qué tan exitosos fueron estos esfuerzos. Desde entonces, Oracle ha publicado parches para solucionar la deficiencia.
Cl0p (asimismo conocido como Graceful Spider), activo desde 2020, se ha atribuido a la explotación masiva de varios días cero en el dispositivo de transferencia de archivos heredado (FTA) Accellion, GoAnywhere MFT, Progress MOVEit MFT y Cleo LexiCom a lo dispendioso de los primaveras. Si acertadamente las campañas de correo electrónico de phishing realizadas por los actores FIN11 han actuado como precursoras de la implementación del ransomware Cl0p en el pasado, Google dijo que encontró signos de que el malware de criptográfico de archivos era un actor diferente.
La última ola de ataques comenzó en serio el 29 de septiembre de 2025, cuando los actores de la amenaza iniciaron una campaña de correo electrónico de gran masa dirigida a ejecutivos de la empresa desde cientos de cuentas de terceros comprometidas pertenecientes a organizaciones no relacionadas. Se dice que las credenciales de estas cuentas se compraron en foros clandestinos, presumiblemente mediante la negocio de registros de malware de robo de información.
Los mensajes de correo electrónico afirmaban que el actor había violado su aplicación Oracle EBS y había extraído datos confidenciales, exigiendo que pagaran una cantidad no especificada como rescate a cambio de no filtrar la información robada. Hasta la época, ninguna de las víctimas de la campaña ha sido incluida en el sitio de filtración de datos Cl0p, un comportamiento que es consistente con ataques Cl0p anteriores donde los actores esperaron varias semanas ayer de publicarlos.
Los ataques en sí aprovechan una combinación de falsificación de solicitudes del costado del servidor (SSRF), inyección de avance de límite de retorno de carro (CRLF), omisión de autenticación e inyección de plantilla XSL, para obtener la ejecución remota de código en el servidor Oracle EBS de destino y configurar un shell inverso.
En algún momento en torno a de agosto de 2025, Google dijo que observó a un actor de amenazas explotando una vulnerabilidad en el componente «/OA_HTML/SyncServlet» para conquistar la ejecución remota de código y, en última instancia, activar una carga útil XSL a través de la funcionalidad de sagacidad previa de plantilla. Se han antagónico dos cadenas diferentes de cargas bártulos de Java integradas en las cargas bártulos XSL:
- GOLDVEIN.JAVA, una cambio Java de un descargador llamado GOLDVEIN (un malware PowerShell detectado por primera vez en diciembre de 2024 en relación con la campaña de explotación de múltiples productos de software Cleo) que puede cobrar una carga útil de segunda etapa desde un servidor de comando y control (C2).
- Un cargador codificado en Base64 llamado SAGEGIFT diseñado a medida para servidores Oracle WebLogic que se utiliza para iniciar SAGELEAF, un cuentagotas en memoria que luego se utiliza para instalar SAGEWAVE, un filtro de servlet Java sagaz que permite la instalación de un archivo ZIP criptográfico que contiene un malware desconocido de ulterior etapa. (Sin confiscación, la carga útil principal se superpone con un módulo cli presente en una puerta trasera FIN11 conocida como GOLDTOMB).
Todavía se ha observado al actor de amenazas ejecutando varios comandos de agradecimiento desde la cuenta de EBS «applmgr», así como ejecutando comandos desde un proceso bash iniciado desde un proceso Java que ejecuta GOLDVEIN.JAVA.
Curiosamente, algunos de los artefactos observados en julio de 2025 como parte de los esfuerzos de respuesta a incidentes se superponen con un exploit filtrado en un asociación de Telegram llamado Scattered LAPSUS$ Hunters el 3 de octubre de 2025. Sin confiscación, Google dijo que no tiene evidencia suficiente para sugerir alguna billete del equipo de cibercrimen en la campaña.
El nivel de inversión en la campaña sugiere que los actores de amenazas responsables de la intrusión original probablemente dedicaron importantes fortuna a la investigación previa al ataque, señaló GTIG.
El titán tecnológico dijo que no atribuye formalmente el ataque a un asociación de amenazas rastreado, aunque señaló el uso de la marca Cl0p como importante. Dicho esto, se cree que el actor de amenazas tiene una asociación con Cl0p. Todavía señaló que las herramientas posteriores a la explotación se superponen con el malware (es asegurar, GOLDVEIN y GOLDTOMB) utilizado en una campaña previa sospechosa de FIN11, y que una de las cuentas violadas utilizadas para mandar los recientes correos electrónicos de molestia fue utilizada anteriormente por FIN11.
«El patrón de explotar una vulnerabilidad de día cero en una aplicación empresarial ampliamente utilizada, seguido de una campaña de molestia de marca a gran escalera semanas a posteriori, es un sello distintivo de la actividad históricamente atribuida a FIN11 que tiene beneficios estratégicos que asimismo pueden atraer a otros actores de amenazas», dijo.
«Apuntar a aplicaciones y dispositivos de camino sabido que almacenan datos confidenciales probablemente aumente la eficiencia de las operaciones de robo de datos, hexaedro que los actores de amenazas no necesitan enfrascarse tiempo ni fortuna al movimiento colateral».
