Per due settimane, prima ancora che Oracle pubblicasse una patch, un gruppo di cybercriminali ha avuto le chiavi di oltre cento infrastrutture PeopleSoft in tutto il mondo. Tra le vittime finite nella rete c’è la National Association of Insurance Commissioners (NAIC), l’organizzazione che coordina la vigilanza assicurativa dei 50 stati USA: 3,1 terabyte di dati pubblicati online, agenzie di rating che hanno sospeso i feed verso il regolatore, e la firma inconfondibile di ShinyHunters, oggi meglio nota agli analisti come UNC6240.
Chi c’è dietro l’attacco: da ShinyHunters a Scattered LAPSUS$ Hunters
ShinyHunters non è un nome nuovo per chi segue il cybercrime dei data breach: attivo almeno dal 2019 e comparso pubblicamente nel maggio 2020 con la vendita di dati sottratti a oltre una dozzina di aziende, il gruppo ha costruito la propria reputazione sul modello “pay or leak” — contatto privato con la vittima, richiesta di riscatto, pubblicazione dei dati in caso di rifiuto. Dal 2025 ShinyHunters opera in una struttura più ampia e fluida, la cosiddetta Scattered LAPSUS$ Hunters (SLH), un’alleanza informale che unisce le competenze di Scattered Spider (accesso iniziale tramite social engineering e SIM swap), LAPSUS$ (estorsione ad alta visibilità mediatica) e ShinyHunters stesso, specializzato in exfiltration su larga scala e gestione dei data leak site. È la stessa federazione già dietro le violazioni a catena di Salesforce e Snowflake nel 2025.
Mandiant e il Google Threat Intelligence Group tracciano il cluster responsabile della campagna PeopleSoft con la sigla UNC6240, confermando la sovrapposizione operativa con ShinyHunters.
CVE-2026-35273: RCE non autenticata nel cuore di PeopleSoft
Il vettore d’ingresso è una vulnerabilità critica (CVSS 9.8) in Oracle PeopleSoft Enterprise PeopleTools, versioni 8.61 e 8.62, localizzata nel componente Environment Management Hub, noto anche come PSEMHUB. Tecnicamente si tratta di una Server-Side Request Forgery che, incatenata correttamente, consente l’esecuzione di codice remoto senza alcuna autenticazione né interazione dell’utente: basta accesso di rete via HTTP agli endpoint /PSEMHUB/hub e /PSIGW/HttpListeningConnector per prendere il controllo del server.
Il dettaglio più inquietante è la tempistica. Secondo Mandiant, lo sfruttamento attivo in the wild è iniziato il 27 maggio 2026, ben prima che Oracle rilasciasse un advisory di sicurezza: un vero zero-day, sfruttato per circa due settimane a insaputa dei difensori. Solo il 10 giugno 2026 Oracle ha pubblicato una patch fuori banda (Patch Availability Document CPU187), poi confluita nel Critical Patch Update di giugno. Nel frattempo, CISA ha aggiunto la falla al proprio catalogo Known Exploited Vulnerabilities.
Una campagna su scala industriale
Tra il 27 maggio e il 9 giugno gli attaccanti hanno colpito circa 300 istanze PeopleSoft appartenenti a oltre 100 organizzazioni, con il 68% delle vittime concentrato nel settore dell’istruzione superiore, in gran parte negli Stati Uniti. Il gruppo ha pubblicato i dati sottratti sul proprio data leak site già il 9 giugno, un giorno prima ancora della patch ufficiale.
Sul piano operativo, gli attaccanti hanno predisposto ambienti di staging che ospitavano agenti MeshCentral camuffati da servizi Microsoft Azure legittimi (file come meshagent64-azure-ops.exe), utilizzati per eseguire query amministrative ed effettuare movimento laterale. Un elemento tecnico rilevante è lo script di defacement e lateral movement che automatizza il credential spraying via SSH: analizza il file /etc/hosts locale per identificare host interni secondo pattern di naming specifici, poi tenta l’autenticazione con una lista predefinita di credenziali amministrative e applicative comuni.
Il caso NAIC: cosa è stato sottratto
NAIC ha rilevato l’accesso non autorizzato al proprio ambiente PeopleSoft l’11 giugno 2026. ShinyHunters ha rivendicato il furto di 3,1 terabyte di dati, oltre 105.000 file: più di 264.000 PDF di filing regolatori assicurativi (rami property, casualty, health e life) relativi al periodo 2017-2024, circa 45.000 file provenienti da importanti agenzie di rating creditizio (tra cui Moody’s, Fitch, S&P, Kroll, DBRS, AM Best), log e file di configurazione di infrastruttura AWS di produzione, oltre a script SQL contenenti credenziali per ambienti produttivi.
NAIC ha dichiarato che nessun dato personale identificabile né informazioni di pagamento risultano compromessi, e che i sistemi regolatori critici — SERFF, OPTins, UCAA, EDP e RDC — non sono stati toccati. Ma l’impatto operativo è stato comunque tangibile: diverse agenzie di rating hanno sospeso temporaneamente i feed di dati verso il regolatore, e NAIC ha interrotto momentaneamente l’assegnazione delle proprie designazioni di investimento, i parametri che determinano quanto capitale gli assicuratori vita statunitensi devono accantonare a fronte dei propri portafogli. Un breach che tocca un ente pubblico, quindi, si traduce in frizioni immediate sull’intero mercato assicurativo americano.
Cosa devono fare i difensori
- Applicare immediatamente la patch CPU187 di Oracle su tutte le istanze PeopleSoft PeopleTools 8.61/8.62.
- Se il patching non è immediato, bloccare l’esposizione internet degli endpoint EMHub/PSEMHUB o disabilitare il servizio nelle configurazioni multi-server; nelle installazioni single-server valutare la rimozione dell’applicazione PSEMHUB.
- Verificare i log di accesso WebLogic per richieste POST esterne verso
/PSEMHUB/hubo/PSIGW/HttpListeningConnector. - Cercare file .jsp non attesi sotto
PSEMHUB.ware cartelle anomale (logs,persistantstorage,scratchpad); controllare modifiche recenti ai file XML sottoenvmetadata/data/environment, potenziale vettore di persistenza via XMLDecoder al riavvio. - Monitorare traffico DNS e connessioni verso il dominio C2 noto
azurenetfiles.net. - Ruotare le credenziali potenzialmente esposte in script SQL, configurazioni e log applicativi.
La campagna NAIC conferma un pattern ormai consolidato per l’alleanza Scattered LAPSUS$ Hunters: individuare zero-day in software enterprise ampiamente diffusi (Salesforce, Snowflake, ora Oracle PeopleSoft), colpire in massa prima che la finestra di patching si chiuda, e monetizzare l’estorsione anche quando i dati sottratti sono in gran parte “pubblici” o di scarso valore diretto — sfruttando la pressione reputazionale e regolatoria che un data leak comporta per l’organizzazione colpita.
Indicatori di compromissione
CVE: CVE-2026-35273 (CVSS 9.8, SSRF -> RCE non autenticata)
Componente: Oracle PeopleSoft PeopleTools 8.61 / 8.62 - Environment Management Hub (PSEMHUB)
Endpoint sfruttati:
/PSEMHUB/hub
/PSIGW/HttpListeningConnector
C2 domain: wss://azurenetfiles[.]net:443/agent.ashx
Agenti MeshCentral malevoli (masquerading Azure):
meshagent32-azure-ops.exe
meshagent64-azure-ops.exe
meshagent64-v2.exe
IP di staging (Python HTTP server, porta 8888):
142.11.200.186 - 142.11.200.190
Percorsi sospetti da monitorare:
/logs/
/persistantstorage/
/scratchpad/
envmetadata/data/environment/*.xml (persistenza via XMLDecoder)
Attore: UNC6240 (Mandiant) / ShinyHunters / Scattered LAPSUS$ Hunters
Finestra di sfruttamento zero-day: 27 maggio - 9/10 giugno 2026
Patch Oracle: CPU187, rilasciata 10 giugno 2026