Google Mandiant y el Corro de Inteligencia de Amenazos de Google (GTIG) han revelado que están rastreando un nuevo clúster de actividad posiblemente vinculado a un actor de amenaza de motivación financiera conocido como CL0P.
La actividad maliciosa implica remitir correos electrónicos de trastorno a ejecutivos en varias organizaciones y afirmar que robaron datos confidenciales de su suite Oracle E-Business.
“Esta actividad comenzó el 29 de septiembre de 2025 o ayer, pero los expertos de Mandiant todavía se encuentran en las primeras etapas de múltiples investigaciones, y aún no han justificado las afirmaciones hechas por este comunidad”, Genevieve Stark, caudillo de examen de inteligencia de operaciones cibernéticas y de cibercrimen en GTIG, le dijo a Hacker News en un comunicado.
Stark dijo encima que la orientación es oportunista, en zona de centrarse en industrias específicas, sumar este modus operandi es consistente con la actividad previa asociada con el sitio de fuga de datos CL0P.
El CTO Mandiant Charles Carmakal describió la actividad en curso como una “campaña de correo electrónico de parada prominencia” que se lanzó a partir de cientos de cuentas comprometidas, con evidencia que sugiere que al menos una de esas cuentas se ha asociado previamente con la actividad de FIN11, que es un subconjunto en el interior del comunidad TA505.
Fin11, por mandiante, se ha involucrado en ataques de ransomware y trastorno desde 2020. Anteriormente, estaba vinculada a la distribución de varias familias de malware como Flawedammyy, Friendspeak y MixLabel.
“Los correos electrónicos maliciosos contienen información de contacto, y hemos verificado que las dos direcciones de contacto específicas proporcionadas asimismo se enumeran públicamente en el sitio de fuga de datos CL0P (DLS)”, agregó Carmakal. “Este movimiento sugiere fuertemente que hay alguna asociación con CL0P, y están aprovechando el inspección de la marca para su operación flagrante”.
Dicho esto, Google dijo que no tiene ninguna evidencia por sí solo para confirmar los supuestos lazos, a pesar de las similitudes en las tácticas observadas en ataques CL0P anteriores. La compañía asimismo insta a las organizaciones a investigar sus entornos para la evidencia de la actividad del actor de amenazas.
Actualmente no está claro cómo se obtiene el entrada original. Sin incautación, según Bloomberg, se cree que los atacantes comprometieron los correos electrónicos de los usuarios y abusaron de la función de restablecimiento de contraseña predeterminada para obtener credenciales válidas de los portales de Oracle E-Business Suite, citando información compartida por Halycon.
Cuando se le contactó para hacer comentarios, Oracle le dijo a The Hacker News que es “consciente de que algunos clientes de Oracle E-Business Suite (EBS) han recibido correos electrónicos de trastorno” y que su investigación continua ha incompatible el “uso potencial de vulnerabilidades previamente identificadas que se abordan en la modernización de parche crítico de julio de 2025”.
Rob Duhart, director de seguridad de Oracle Corporation, asimismo ha instado a los clientes a aplicar la última modernización de parche crítico para defender contra la amenaza. La compañía, sin incautación, no dijo qué vulnerabilidades están bajo explotación activa.
En los últimos abriles, el comunidad CL0P mucho prolífico se ha atribuido a una serie de ondas de ataque que explotan fallas de día cero en el TLC de precipitación, SolarWinds Serv-U FTP, Fortra Goanywhere MFT y las plataformas de transferencia de movimientos de progreso, incumpliendo con éxito miles de organizaciones.
Refrescar
La compañía de ciberseguridad Halcyon, en un referencia publicado el jueves, dijo que los atacantes están abusando de la función de restablecimiento de contraseña predeterminada para obtener credenciales válidas. Específicamente, se fundamento en las cuentas locales de Oracle EBS, evitando las protecciones de SSO conveniente a la descuido de MFA en estas cuentas, lo que permite a los actores de amenaza activar los restablecimientos de contraseña a través de cuentas de correo electrónico comprometidas y obtener entrada válido a los usuarios.
“Las cuentas locales evitan los controles SSO empresariales y, a menudo, carecen de MFA, dejando a miles de organizaciones expuestas”, dijo en una alerta. “Las demandas de rescate han escaso hasta $ 50 millones, y los atacantes proporcionan pruebas de compromiso, incluidas capturas de pantalla y árboles de archivos”.
(La historia se actualizó luego de la publicación para incluir una respuesta de Oracle y Google, y detalles adicionales de Halcyon).
