Tra il 27 maggio e il 9 giugno 2026, il gruppo di estorsione ShinyHunters ha sfruttato la vulnerabilità zero-day CVE-2026-35273 in Oracle PeopleSoft PeopleTools per compromettere oltre 100 organizzazioni, il 68% delle quali istituti di istruzione superiore statunitensi. Oracle ha pubblicato l'advisory e la patch il 10 giugno; CISA ha inserito la CVE nel catalogo KEV il 12 giugno con scadenza vincolante al 15 giugno per le agenzie federali. Il caso rivela come un componente di gestione interna, tecnicamente non necessario per le sessioni utente, sia diventato il vettore di una delle campagne più invasive del 2026 nel settore accademico.
- CVE-2026-35273 ha CVSS 9.8: mancanza di autenticazione negli endpoint HTTP di EMHub consente RCE remota senza credenziali né interazione utente, secondo il record NVD e l'analisi congiunta Mandiant/Google Threat Intelligence Group.
- ShinyHunters ha mascherato il proprio C2 MeshCentral come servizio Azure (agenti rinominati meshagent64-azure-ops.exe e meshagent32-azure-ops.exe), reindirizzando il traffico WebSocket Secure su azurenetfiles.net:443.
- I server di staging dell'attaccante, esposti accidentalmente su cinque IP consecutivi (142.11.200.186-190) con Python SimpleHTTPServer sulla porta 8888, hanno permesso ai ricercatori di ricostruire la catena d'attacco e identificare script personalizzati di credential spraying e marcatori di estorsione.
- L'Università di Nottingham ha confermato la compromissione con perdita di "una significativa quantità di dati" dal sistema studenti; Have I Been Pwned ha verificato circa 455.000 indirizzi email univoci, inclusi numeri di passaporto, stato di disabilità ed etnia.
Come funziona la falla: autenticazione assente in un backend "invisibile"
La vulnerabilità risiede nell'Environment Management Hub (EMHub, componente PSEMHUB), servizio backend che traccia e gestisce agenti attraverso gli ambienti PeopleSoft. Secondo le ricerche congiunte di Mandiant e GTIG citate da Dark Reading, gli endpoint HTTP /PSEMHUB/hub e /PSIGW/HttpListeningConnector non effettuano il controllo di autenticazione, permettendo a un attaccante remoto di eseguire codice arbitrario con una richiesta POST craftata. Il record NVD classifica la debolezza come CWE-306 e assegna il vettore CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H con punteggio base 9.8.
Il paradosso architetturale è centrale: EMHub non è richiesto per le sessioni browser utente dell'architettura PeopleSoft Internet Architecture. È un'interfaccia di gestione interna, spesso esposta a Internet per comodità amministrativa o per configurazioni di rete ereditate, che diventa superficie di attacco invisibile. Le versioni confermate come vulnerabili sono PeopleTools 8.61 e 8.62; Oracle segnala che anche versioni precedenti non più supportate sono probabilmente affette.
La catena operativa: da Azure spoofing a estorsione con marcatori
Dopo l'accesso iniziale, ShinyHunters ha distribuito agenti MeshCentral — strumento open-source di gestione remota legittimo — con nomi file deliberatamente costruiti per mimetizzarsi tra i processi Microsoft. GBHackers documenta gli hash SHA-256 dei payload: f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc per l'eseguibile a 64 bit e c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f per la versione a 32 bit. Il dominio di comando e controllo, azurenetfiles.net, serviva connessioni WebSocket Secure sulla porta 443.
La mossa successiva sfrutta un errore operativo degli stessi attaccanti: directory di staging lasciate accessibili su Internet, ospitate su cinque IP consecutivi 142.11.200.186-190 con server Python SimpleHTTP sulla porta 8888. Da questa esposizione, i ricercatori hanno estratto script di lateral movement come [vittima]_fanout.sh, progettati per credential spraying via SSH, e il file marcatore README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT, segnale distintivo della fase estorsiva. L'esfiltrazione avveniva con compressione zstd verso 176.120.22.24, indirizzo associato al leak site pubblico di ShinyHunters.
"In several instances we have identified web application firewalls (WAFs) protecting otherwise vulnerable organizations. These are not durable protections and we recommend following Oracle's mitigations guidance as soon as possible." — Mandiant e GTIG, via Dark Reading
Il settore accademico sotto tiro: notifiche, conferme e dati non rotabili
Mandiant e GTIG hanno notificato oltre 100 organizzazioni; per il 68% si tratta di istituti di istruzione superiore, in maggioranza negli Stati Uniti. ShinyHunters rivendica 300+ istanze PeopleSoft compromesse nel complesso, ma il rapporto tra notifiche proattive e violazioni effettivamente confermate non è quantificato nei rapporti pubblici.
L'Università di Nottingham ha riconosciuto pubblicamente la compromissione del sistema record studenti, con impatto su studenti attuali e laureati. The Hacker News, attraverso il servizio Have I Been Pwned, ha verificato circa 455.000 indirizzi email univoci nel dataset trafugato. I campi esposti includono nomi, indirizzi, numeri telefonici, numeri di passaporto, etnia e stato di disabilità — categorie di dato che non ammettono mitigazione post-breach come la rotazione delle credenziali. La persistenza del rischio identitario e di discriminazione per gli studenti interessati si estende su orizzonti annuali, non settimanali.
Cosa fare adesso
Le azioni documentate nelle fonti primarie sono quattro e immediate:
- Applicare la patch rilasciata da Oracle il 10 giugno 2026 per le versioni supportate di PeopleTools 8.61 e 8.62, verificando la disponibilità ufficiale per il proprio ambiente.
- Disabilitare il servizio EMHub ove non strettamente necessario, e bloccare l'accesso esterno agli endpoint /PSEMHUB/* e /PSIGW/HttpListeningConnector, come raccomandato da Oracle e citato da Mandiant/GTIG.
- Rimuovere la reliance su Web Application Firewall come unica barriera per questa vulnerabilità, dato il giudizio esplicito dei ricercatori sulla non-durabilità di tale protezione contro questo specifico vettore.
- Per le organizzazioni federali o adiacenti, rispettare la scadenza BOD 26-04 fissata da CISA al 15 giugno 2026 per la remediativa obbligatoria.
Il salto operativo di ShinyHunters: da cloud misconfiguration a server-side zero-day
La campagna segna un'inflessione nel modus operandi del gruppo. Fino al 2026, ShinyHunters era principalmente associato a compromissioni di configurazione cloud e database esposti. L'uso di una vulnerabilità zero-day server-side in un ERP enterprise, con sviluppo di tooling personalizzato per persistenza e movimento laterale, indica un'escalation di capacità tecnica e di pianificazione operativa. Non emergono nel dossier sovrapposizioni infrastrutturali che colleghino questo attore a gruppi di stato-nazione, ma la provenienza dello zero-day — sviluppato internamente o acquisito — resta non determinata.
La scelta del settore education non è casuale per profilo dati: gli istituti detengono record personali densi, con dati demografici sensibili e storici di studenti non più iscritti, che espandono la finestra di valore per l'estorsione. Il 14 giugno 2026, con la scadenza CISA imminente, la pressione operativa sui team di sicurezza delle università è massima — e la questione di perché EMHub fosse raggiungibile da Internet in così tante istituzioni resta aperta, più amministrativa che tecnica.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.darkreading.com/vulnerabilities-threats/shinyhunters-oracle-zero-day-higher-ed
- https://www.rescana.com/post/shinyhunters-exploits-oracle-peoplesoft-zero-day-cve-2026-35273-in-widespread-higher-education-cyberattack
- https://gbhackers.com/oracle-peoplesoft-zero-day-rce-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2026-35273
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-35273
- https://thehackernews.com/2026/06/shinyhunters-exploits-oracle-peoplesoft.html
- https://www.darkreading.com/cyberattacks-data-breaches/shinyhunters-second-attack-instructure