Es posible que decenas de organizaciones se hayan visto afectadas tras la explotación de día cero de una falla de seguridad en el software E-Business Suite (EBS) de Oracle desde el 9 de agosto de 2025, dijeron Google Threat Intelligence Group (GTIG) y Mandiant en un nuevo informe publicado el jueves.
«Todavía estamos evaluando el alcance de este incidente, pero creemos que afectó a docenas de organizaciones», dijo John Hultquist, analista jefe de GTIG en Google Cloud, en un comunicado compartido con The Hacker News. «Algunas campañas históricas de extorsión de datos de Cl0p han tenido cientos de víctimas. Desafortunadamente, campañas de día cero a gran escala como ésta se están convirtiendo en una característica habitual del cibercrimen».
Se estima que la actividad, que tiene algunas características asociadas con el equipo de ransomware Cl0p, ha creado múltiples vulnerabilidades distintas, incluida una falla de día cero rastreada como CVE-2025-61882 (puntuación CVSS: 9,8), para violar las redes objetivo y filtrar datos confidenciales. Google dijo que encontró evidencia de actividad sospechosa adicional que se remonta al 10 de julio de 2025, aunque aún se desconoce qué tan exitosos fueron estos esfuerzos. Desde entonces, Oracle ha publicado parches para solucionar la deficiencia.
Cl0p (también conocido como Graceful Spider), activo desde 2020, se ha atribuido a la explotación masiva de varios días cero en el dispositivo de transferencia de archivos heredado (FTA) Accellion, GoAnywhere MFT, Progress MOVEit MFT y Cleo LexiCom a lo largo de los años. Si bien las campañas de correo electrónico de phishing realizadas por los actores FIN11 han actuado como precursoras de la implementación del ransomware Cl0p en el pasado, Google dijo que encontró signos de que el malware de cifrado de archivos era un actor diferente.
La última ola de ataques comenzó en serio el 29 de septiembre de 2025, cuando los actores de la amenaza iniciaron una campaña de correo electrónico de gran volumen dirigida a ejecutivos de la empresa desde cientos de cuentas de terceros comprometidas pertenecientes a organizaciones no relacionadas. Se dice que las credenciales de estas cuentas se compraron en foros clandestinos, presumiblemente mediante la compra de registros de malware de robo de información.
Los mensajes de correo electrónico afirmaban que el actor había violado su aplicación Oracle EBS y había extraído datos confidenciales, exigiendo que pagaran una cantidad no especificada como rescate a cambio de no filtrar la información robada. Hasta la fecha, ninguna de las víctimas de la campaña ha sido incluida en el sitio de filtración de datos Cl0p, un comportamiento que es consistente con ataques Cl0p anteriores donde los actores esperaron varias semanas antes de publicarlos.
Los ataques en sí aprovechan una combinación de falsificación de solicitudes del lado del servidor (SSRF), inyección de avance de línea de retorno de carro (CRLF), omisión de autenticación e inyección de plantilla XSL, para obtener la ejecución remota de código en el servidor Oracle EBS de destino y configurar un shell inverso.
En algún momento alrededor de agosto de 2025, Google dijo que observó a un actor de amenazas explotando una vulnerabilidad en el componente «/OA_HTML/SyncServlet» para lograr la ejecución remota de código y, en última instancia, activar una carga útil XSL a través de la funcionalidad de vista previa de plantilla. Se han encontrado dos cadenas diferentes de cargas útiles de Java integradas en las cargas útiles XSL:
- GOLDVEIN.JAVA, una variante Java de un descargador llamado GOLDVEIN (un malware PowerShell detectado por primera vez en diciembre de 2024 en relación con la campaña de explotación de múltiples productos de software Cleo) que puede recibir una carga útil de segunda etapa desde un servidor de comando y control (C2).
- Un cargador codificado en Base64 llamado SAGEGIFT diseñado a medida para servidores Oracle WebLogic que se utiliza para iniciar SAGELEAF, un cuentagotas en memoria que luego se utiliza para instalar SAGEWAVE, un filtro de servlet Java malicioso que permite la instalación de un archivo ZIP cifrado que contiene un malware desconocido de siguiente etapa. (Sin embargo, la carga útil principal se superpone con un módulo cli presente en una puerta trasera FIN11 conocida como GOLDTOMB).
También se ha observado al actor de amenazas ejecutando varios comandos de reconocimiento desde la cuenta de EBS «applmgr», así como ejecutando comandos desde un proceso bash iniciado desde un proceso Java que ejecuta GOLDVEIN.JAVA.
Curiosamente, algunos de los artefactos observados en julio de 2025 como parte de los esfuerzos de respuesta a incidentes se superponen con un exploit filtrado en un grupo de Telegram llamado Scattered LAPSUS$ Hunters el 3 de octubre de 2025. Sin embargo, Google dijo que no tiene evidencia suficiente para sugerir alguna participación del equipo de cibercrimen en la campaña.
El nivel de inversión en la campaña sugiere que los actores de amenazas responsables de la intrusión inicial probablemente dedicaron importantes recursos a la investigación previa al ataque, señaló GTIG.
El gigante tecnológico dijo que no atribuye formalmente el ataque a un grupo de amenazas rastreado, aunque señaló el uso de la marca Cl0p como notable. Dicho esto, se cree que el actor de amenazas tiene una asociación con Cl0p. También señaló que las herramientas posteriores a la explotación se superponen con el malware (es decir, GOLDVEIN y GOLDTOMB) utilizado en una campaña previa sospechosa de FIN11, y que una de las cuentas violadas utilizadas para enviar los recientes correos electrónicos de extorsión fue utilizada anteriormente por FIN11.
«El patrón de explotar una vulnerabilidad de día cero en una aplicación empresarial ampliamente utilizada, seguido de una campaña de extorsión de marca a gran escala semanas después, es un sello distintivo de la actividad históricamente atribuida a FIN11 que tiene beneficios estratégicos que también pueden atraer a otros actores de amenazas», dijo.
«Apuntar a aplicaciones y dispositivos de acceso público que almacenan datos confidenciales probablemente aumente la eficiencia de las operaciones de robo de datos, dado que los actores de amenazas no necesitan dedicar tiempo ni recursos al movimiento lateral».
