Una colaboración entre el Grupo de Inteligencia de Amenazas de Google (GTIG) y Mandiant ha revelado una alarmante campaña de extorsión que explota una vulnerabilidad de día cero en el Oracle E-Business Suite (EBS). El grupo responsable, que muestra afinidad con la conocida marca CL0P, ha llevado a cabo meses de intrusión silenciosa y exfiltración de datos, culminando con una serie de correos extorsivos dirigidos a ejecutivos de varios sectores desde el 29 de septiembre de 2025. Oracle ha respondido publicando parches de emergencia y urge a que se apliquen inmediatamente.
La vulnerabilidad, identificada como CVE-2025-61882 con un puntaje de 9.8 en el CVSS, ha sido explotada desde julio de 2025. El objetivo principal ha sido el acceso a Oracle EBS, una plataforma crítica para finanzas, compras, recursos humanos y operaciones. La campana de extorsión ha utilizado correos enviados desde cuentas comprometidas, exhibiendo listados reales de archivos robados para dar credibilidad a sus demandas.
El método de intrusión se realizó a través de dos vulnerabilidades en EBS: UiServlet y SyncServlet, que permitían la ejecución remota de código sin necesidad de autenticación. Una vez dentro, los atacantes utilizaban un conjunto de herramientas sofisticadas, incluida la variante GOLDVEIN.JAVA, para conectarse a servidores de comando y control (C2) y desplegar payloads adicionales.
La campaña representa un serio riesgo debido al acceso a datos críticos almacenados en EBS, el uso de cargas en memoria que dificultan la detección por sistemas de seguridad y la capacidad de CL0P para ejecutar ataques de gran escala repetidos.
Ante esta amenaza, los expertos recomiendan medidas inmediatas: aplicar los parches de emergencia, auditar plantillas XDO para detectar actividades inusuales, limitar el acceso a Internet desde servidores EBS, intensificar la monitorización y estar preparados para responder a situaciones de extorsión.
La situación subraya la importancia de un rápido parcheo y de estar alerta ante indicadores de compromiso para mitigar cualquier posible daño y proteger la información crítica.
Más información y referencias en Noticias Cloud.
