PeopleSoft ist eine ERP-Suite von Oracle für Aufgaben wie Gehaltsabrechnung, Lieferkettenmanagement, Personalwesen und Studierendenverwaltung. Eingesetzt wird sie vor allem in großen Unternehmen und Organisationen, darunter Behörden und Hochschulen. Der nun missbrauchte Fehler steckt laut Mandiant und GTIG im EMHub, einem Backend-Dienst zur Verwaltung und Nachverfolgung von Agenten in PeopleSoft-Umgebungen.

Die Schwachstelle CVE-2026-35273 erlaubt Remotecodeausführung ohne Anmeldung. Mandiant und GTIG zufolge nutzte ShinyHunters den Fehler ab dem 27. Mai in Organisationen weltweit aus. Dustin Childs, Leiter der Bedrohungsaufklärung bei der Zero Day Initiative von Trend Micro, bezeichnete die Ausnutzung in einer E-Mail an Dark Reading als „begrenzt“, verwies aber darauf, dass die Untersuchung durch TrendAI, die Unternehmenssicherheitsabteilung von Trend Micro, noch laufe.

Bei der Aufarbeitung half den Forschern ein Fehler der Angreifer: ShinyHunters ließ mehrere Verzeichnisse versehentlich offen im Internet stehen. Dadurch konnten Mandiant und GTIG den weiteren Ablauf der Kampagne rekonstruieren. Demnach setzte die Gruppe für Kommando-und-Kontroll-Funktionen MeshCentral ein, ein quelloffenes, browserbasiertes Werkzeug für Fernverwaltung, und tarnte die zugehörigen Agenten mit Namen von Microsoft-Azure-Diensten.

Anschließend nutzten die Angreifer laut den Forschern die Befehlszeilenschnittstelle von MeshCentral für Aufklärungsaktivitäten, ein eigenes Skript zum Sprühen von SSH-Zugangsdaten für die weitere Ausbreitung in den Umgebungen der Opfer sowie den Kompressionsalgorithmus Zstandard, um Daten in großem Umfang abzuziehen. Am 9. Juni beendete die Gruppe die Kampagne, indem sie die erbeuteten Daten auf ihrer Website veröffentlichte.

Zu diesem Zeitpunkt identifizierten Forscher von TrendAI die Schwachstelle und informierten Oracle. Oracle schloss die Lücke und veröffentlichte am folgenden Tag eine Sicherheitswarnung. Der Hersteller empfahl Organisationen nachdrücklich, den Patch einzuspielen. Mandiant und GTIG nannten darüber hinaus weitere Gegenmaßnahmen: Vorrangig solle der EMHub-Dienst deaktiviert oder der externe Netzwerkzugang dazu blockiert werden. Die Forscher betonten zudem, dass die Beschränkung des EMHub-Endpunkts PeopleSoft nicht außer Betrieb setze, weil der Dienst für die zentralen browserbasierten Sitzungen der PeopleSoft Internet Architecture nicht erforderlich sei.

Von den mehr als 100 gefährdeten Organisationen, die Google kontaktierte, entfielen 68 Prozent auf den Hochschulbereich. Bestätigt hat bislang die University of Nottingham im Vereinigten Königreich, betroffen zu sein. Die Hochschule teilte mit, aus ihrem System für Studierendendaten sei „eine erhebliche Menge an Daten“ abgeflossen; aktuelle und ehemalige Studierende seien betroffen. Welche Daten genau gestohlen wurden, führte sie nicht aus.

Auf seiner Leak-Seite im Dark Web führte ShinyHunters die University of Nottingham als aktuelles Opfer auf und behauptete, über mehr als 40 Gigabyte sensible Daten zu verfügen. Mehrere weitere Unternehmen listete die Gruppe ebenfalls als jüngste Opfer, doch diese Angriffe sind bislang nicht bestätigt, und ein Zusammenhang mit der PeopleSoft-Zero-Day-Kampagne ist unklar. Mandiant und GTIG vermerkten außerdem, dass sie in mehreren Fällen Web Application Firewalls vor eigentlich verwundbaren Organisationen vorgefunden hätten. Als dauerhafte Absicherung sehen sie diese Maßnahme jedoch nicht und verweisen auf Oracles Abhilfemaßnahmen.