A ShinyHunters explorou um zero-day CVSS 9.8 no Oracle PeopleSoft por 13 dias antes da Oracle publicar qualquer coisa. Não foi um ataque furtivo de baixo perfil — foi uma operação de extorsão em escala, com deploy de agentes MeshCentral customizados, credential spraying via SSH e exfiltração de dados publicada no Data Leak Site do grupo. Na Tech86, acompanhamos esse tipo de cenário repetidamente: o ciclo de patch não acompanha a velocidade de exploração, e quem tem ERP exposto à internet paga o preço.
A vulnerabilidade e a janela de exploração
O CVE-2026-35273 é uma execução remota de código não autenticada no PeopleSoft Environment Management Hub (PSEMHUB). Nenhuma autenticação. Nenhuma interação do usuário. Complexidade baixa. Vetor: rede. CVSS 9.8.
Segundo o Mandiant, a janela de exploração ativa foi de 27 de maio a 9 de junho de 2026. A advisory da Oracle veio em 10 de junho. Não era um patch — era uma mitigação: desabilitar o PSEMHUB ou bloquear acesso externo a /PSEMHUB/*. O patch completo permanece atrás de login de cliente. Treze dias entre exploração ativa documentada e advisory pública. Para quem opera segurança, isso é uma eternidade.
Segundo o TrendAI, que reportou a vulnerabilidade, houve exploração limitada. A Oracle não menciona exploração ativa na advisory, segundo a advisory da Oracle. O CTO do Mandiant, Charles Carmakal, alertou publicamente sobre a campanha, segundo o Mandiant.
A cadeia de ataque documentada pelo Mandiant
O Mandiant documentou uma cadeia de ataque estruturada que vai além da exploração inicial do PSEMHUB:
Exploração do PSEMHUB → deploy de agentes MeshCentral customizados disfarçados de serviços Azure (
meshagent64-azure-ops.exe, C2 emazurenetfiles.netcom certificados Let's Encrypt). O disfarce é deliberado: nomes e domínios que parecem legítimos em logs de rede.Script fanout.sh → parse de
/etc/hostspor hostnames PeopleSoft, seguido de SSH credential spraying com credenciais hardcoded viasshpass. Lateral movement automatizado.Marcadores de defacement →
README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTcopiados para diretórios WebLogic e Process Scheduler. O atacante quer que a vítima saiba.Exfiltração → compressão zstd e transferência via SSH para o IP do Data Leak Site da ShinyHunters (176.120.22.24), segundo o Mandiant.
Publicação → dados publicados no DLS em 9 de junho.
Essa não é uma exploração pontual. É um playbook de extorsão com persistência, lateral movement e exfiltração estruturada.
O impacto real: dados sensíveis, não operacionais
PeopleSoft roda RH, finanças e registros estudantis. O dado que vazou é o mais sensível que uma instituição guarda: passaporte, etnia, deficiência, pagamentos. Não é dado operacional — é dado que pode ser usado para fraude de identidade, discriminação e chantagem direta.
A University of Nottingham confirmou o vazamento. Segundo o Have I Been Pwned, 454 mil registros foram verificados: nomes, endereços, telefones, etnias, deficiências, números de passaporte e dados de matrícula e pagamentos.
Segundo o Mandiant, mais de 100 organizações foram notificadas cujos IPs correlacionavam com endpoints potencialmente vulneráveis — nem todas confirmadas como comprometidas. Desse total, 68% eram instituições de ensino superior, a maioria nos EUA, segundo o Mandiant. A ShinyHunters afirma 300 instâncias em mais de 100 organizações — segundo a ShinyHunters (claim do atacante, não verificação independente). O Mandiant confirmou a escala de targeting, mas observou que várias organizações bloquearam a atividade com sucesso.
A mitigação que não é correção
Segundo a advisory da Oracle, a mitigação é desabilitar o PSEMHUB ou bloquear acesso externo a /PSEMHUB/*. É a mesma recomendação que o Mandiant fez. Mas segundo o Mandiant, WAF com body-inspection é insuficiente — é bypassável. Se você tem PeopleSoft exposto à internet, a mitigação correta é bloquear /PSEMHUB/* e /PSIGW/HttpListeningConnector no perímetro.
Mitigação é contenção. Não é correção. O patch completo permanece restrito a clientes com acesso ao suporte Oracle. Enquanto o patch não é aplicado, a superfície de ataque permanece.
O padrão que se repete
A janela de 13 dias entre exploração ativa e advisory reflete o mesmo padrão que vimos em outros incidentes em 2026. A diferença aqui: não foi IA acelerando o exploit. Foi um grupo de extorsão operando em janela de zero-day não patcheada — o mesmo descompasso entre velocidade de ataque e velocidade de defesa documentado em outros contextos.
Na Tech86, vimos esse descompasso repetidamente. A defesa precisa responder em horas, não em semanas. EDR com detecção comportamental identifica agentes MeshCentral não autorizados, credential spraying em massa e exfiltração anômala antes que o dado saia. Monitoramento em tempo real não é luxo quando o adversário tem 13 dias de vantagem.
Conclusão
O CVE-2026-35273 não é um incidente isolado — é um caso exemplar de como a janela entre exploração e resposta define o impacto real. Treze dias de exploração ativa, dados de 454 mil registros vazados, mitigação em vez de patch. Se sua organização roda PeopleSoft exposto à internet e não bloqueou /PSEMHUB/* no perímetro, a janela ainda está aberta. Na Tech86, automatizamos defesa na velocidade que o adversário exige — com EDR, monitoramento comportamental e resposta autônoma. O ciclo de patch não vai acelerar. Sua defesa precisa.