Google Threat Intelligence Group (GTIG) y Mandiant dijeron en un nuevo informe publicado el jueves que un exploit de día cero de una falla de seguridad en el software E-Business Suite (EBS) de Oracle puede haber afectado a docenas de organizaciones desde el 9 de agosto de 2025.
«Aunque todavía estamos evaluando el alcance de este incidente, creemos que afectó a docenas de organizaciones», dijo John Hultquist, analista jefe de Google Cloud GTIG, en un comunicado compartido con Hacker News. «Algunas de las históricas campañas de extorsión de datos de Cl0p tuvieron cientos de víctimas. Lamentablemente, estas campañas de día cero a gran escala se están convirtiendo en la norma en materia de delitos cibernéticos».
Esta actividad tiene varias características asociadas con el clúster de ransomware Cl0p y se considera que ha combinado varias vulnerabilidades diferentes, incluida una falla de día cero rastreada como CVE-2025-61882 (puntuación CVSS: 9,8), para infiltrarse en las redes de destino y filtrar datos confidenciales. Google dijo que encontró evidencia de más actividad sospechosa que se remonta al 10 de julio de 2025, pero aún no está claro qué tan exitosos fueron estos esfuerzos. Desde entonces, Oracle ha publicado un parche para solucionar esta deficiencia.
Se cree que Cl0p (también conocido como Graceful Spider), que ha estado activo desde 2020, es responsable de varios exploits de día cero a gran escala en los dispositivos de transferencia de archivos heredados (FTA) de Accellion, GoAnywhere MFT, Progress MOVEit MFT y Cleo LexiCom a lo largo de los años. Las campañas de correo electrónico de phishing realizadas por atacantes FIN11 han servido como precursoras de las implementaciones de ransomware Cl0p en el pasado, pero Google dijo que descubrió indicios de que este malware de cifrado de archivos es un actor diferente.
La última ola de ataques comenzó en serio el 29 de septiembre de 2025. En ese momento, los actores de amenazas lanzaron una campaña masiva de correo electrónico dirigida a ejecutivos corporativos desde cientos de cuentas de terceros comprometidas que pertenecen a organizaciones no relacionadas. Se dice que las credenciales de estas cuentas se compraron en foros clandestinos, probablemente mediante la compra de registros de malware de Infostealer.
En el mensaje de correo electrónico, los atacantes afirmaron haber comprometido una aplicación Oracle EBS y exfiltrado datos confidenciales, y exigieron que se pagara una cantidad no especificada como rescate a cambio de no divulgar la información robada. Hasta la fecha, no se ha incluido ninguna víctima de esta campaña en el sitio de violación de datos Cl0p. Este comportamiento es consistente con ataques Cl0p anteriores, donde el atacante esperó varias semanas antes de publicar.
El ataque en sí aprovecha una combinación de falsificación de solicitudes del lado del servidor (SSRF), inyección de avance de línea de retorno de carro (CRLF), omisión de autenticación e inyección de plantilla XSL para ejecutar código remoto y configurar un shell inverso en el servidor Oracle EBS objetivo.
Google anunció que alrededor de agosto de 2025, observó a un atacante que explotaba una vulnerabilidad en el componente /OA_HTML/SyncServlet para ejecutar código de forma remota y, en última instancia, activar una carga útil XSL a través de la función de vista previa de la plantilla. Resulta que dos cadenas diferentes de cargas útiles de Java están integradas en la carga útil XSL.
GOLDVEIN.JAVA es una variante Java del descargador conocido como GOLDVEIN, un malware PowerShell detectado por primera vez en diciembre de 2024 en relación con campañas de explotación para múltiples productos de software Cleo, que puede recibir una carga útil de segunda etapa desde un servidor de comando y control (C2). Un cargador codificado en Base64 llamado SAGEGIFT diseñado a medida para Oracle WebLogic Server. Se utiliza para iniciar SAGELEAF. SAGELEAF es un cuentagotas en memoria que se utiliza para instalar SAGEWAVE, un filtro de servlet Java malicioso que permite la instalación de archivos ZIP cifrados que contienen malware desconocido de siguiente nivel. (Sin embargo, la carga útil principal se superpone en cierta medida con el módulo cli presente en la puerta trasera FIN11 conocida como GOLDTOMB).
También se ha observado al atacante ejecutando varios comandos de reconocimiento desde la cuenta de EBS ‘applmgr’ y ejecutando comandos desde un proceso bash iniciado desde el proceso Java que ejecuta GOLDVEIN.JAVA.
Curiosamente, algunos de los artefactos observados en julio de 2025 como parte de los esfuerzos de respuesta a incidentes se superponen con un exploit filtrado el 3 de octubre de 2025 en un grupo de Telegram llamado Scattered LAPSUS$ Hunters. Sin embargo, Google dijo que no había pruebas suficientes para sugerir que su equipo de cibercrimen estuviera involucrado en la campaña.
GTIG señaló que el nivel de inversión en esta campaña sugiere que los atacantes responsables de la infiltración inicial probablemente gastaron recursos significativos en la investigación previa al ataque.
El gigante tecnológico dijo que no había atribuido oficialmente esta serie de ataques a los grupos de amenazas que rastrea, pero señaló que el uso de la marca Cl0p era notable. Sin embargo, se cree que este atacante está afiliado a Cl0p. También observamos que la herramienta post-exploit se superpone con el malware utilizado en campañas sospechosas anteriores de FIN11 (GOLDVEIN y GOLDTOMB), y que una de las cuentas comprometidas utilizada para enviar los correos electrónicos de extorsión recientes fue utilizada anteriormente por FIN11.
«El patrón de explotación de vulnerabilidades de día cero en aplicaciones empresariales ampliamente utilizadas, seguido semanas después por campañas de extorsión de marcas a gran escala, ha sido históricamente un sello distintivo de la actividad atribuida a FIN11, y puede tener beneficios estratégicos atractivos para otros actores de amenazas también», dice el informe.
«Apuntar a aplicaciones y dispositivos públicos que almacenan datos confidenciales puede mejorar la eficiencia de las operaciones de robo de datos al eliminar la necesidad de que los actores de amenazas dediquen tiempo y recursos al movimiento lateral».
Source link
