ShinyHunters : zero-day PeopleSoft frappe 100 organisations

Deux semaines d exploitation silencieuse avant le premier patch

Depuis le 10 juin 2026, les equipes de securite des universites et grandes entreprises mondiales sont en etat d alerte maximale. Oracle a publie ce jour-la une alerte hors-cycle concernant une vulnerabilite critique dans son logiciel PeopleSoft Enterprise PeopleTools, apres avoir recu des rapports d exploitation active. La faille, referencee CVE-2026-35273, avait ete utilisee comme zero-day pendant plus de deux semaines avant la publication du patch, selon la chronologie etablie par le laboratoire de Mandiant, filiale de Google, dans son rapport de threat intelligence publie simultanement a l advisory Oracle.

CVE-2026-35273 est une vulnerabilite d execution de code a distance sans authentification dans PeopleSoft Enterprise PeopleTools, versions 8.61 et 8.62. Le score CVSS est de 9.8 sur 10, le niveau le plus eleve possible pour une faille accessible sur reseau sans interaction utilisateur requise. Un simple acces HTTP suffit a prendre le controle complet du serveur vulnerable. Ce vecteur d attaque est particulierement dangereux pour toute instance PeopleSoft exposee directement sur Internet ou accessible depuis un reseau non segmente, ce qui concerne de tres nombreuses installations d universites qui exposent leurs portails PeopleSoft aux etudiants en dehors du reseau d entreprise.

Mandiant attribue la campagne d exploitation au groupe suivi sous l identifiant UNC6240, connu publiquement sous le nom ShinyHunters. L activite malveillante a debute le 27 mai 2026 et s est poursuivie jusqu au 9 juin. Durant cette fenetre de quatorze jours, plus de 100 organisations ont ete compromises a partir de 300 instances PeopleSoft vulnerables que les attaquants avaient prealablement cartographiees via des scans Internet automatises. Oracle n ayant publie son advisory que le 10 juin, la faille etait un zero-day veritable pendant toute la duree de la campagne : aucun correctif n existait, et les defenseurs ne disposaient d aucune information officielle permettant de prioriser la protection de ces systemes.

Le vecteur d attaque initial ciblait directement l interface HTTP de PeopleSoft pour obtenir l execution de code arbitraire. Une fois ce premier acces obtenu, les attaquants deployaient un script shell baptise [victime]_fanout.sh, un outil de propagation laterale automatise. Ce script parcourait le fichier /etc/hosts pour dresser une liste des hotes internes accessibles, puis pulverisait des combinaisons identifiants et mots de passe codes en dur via SSH contre ces cibles. En parallele, le script deposait un fichier marqueur nomme README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT dans les repertoires PeopleSoft, servant a la fois de notification aux victimes et de preuve de compromission pour les negociations d extorsion qui suivaient.

Le profil des victimes revele une strategie ciblee. Selon les donnees compilees par The Hacker News et The Register, 68 % des organisations touchees appartiennent au secteur de l enseignement superieur, et la majorite sont localisees aux Etats-Unis. PeopleSoft est massivement deploye dans les universites americaines pour gerer les systemes d information academique, les ressources humaines et la comptabilite. Cette concentration sectorielle reflete une connaissance precise de la cartographie des deploiements des versions vulnerables. ShinyHunters a historiquement demontre sa predilection pour les institutions detenant de grandes bases de donnees personnelles a haute valeur marchande sur les marches cybercriminels.

Le cas le plus documente est celui de l Universite de Nottingham au Royaume-Uni. L etablissement a confirme le 11 juin 2026 que des acteurs malveillants avaient acces a son systeme de gestion des dossiers etudiants via PeopleSoft. L intrusion a permis de derober 40 Go de donnees personnelles et de releves de facturation, affectant plus de 450 000 etudiants actuels et anciens selon BleepingComputer. L universite a active son dispositif de reponse a incident et notifie le ICO, le regulateur britannique de protection des donnees, comme l exige le UK GDPR sous 72 heures apres la decouverte d une violation de donnees personnelles.

Oracle a publie le correctif hors-cycle le 10 juin 2026 et exhorte toutes les organisations utilisant PeopleSoft PeopleTools 8.61 et 8.62 a appliquer la mise a jour sans delai. La CISA americaine devrait integrer CVE-2026-35273 a son catalogue Known Exploited Vulnerabilities dans les prochaines heures, imposant aux agences federales un delai de correction strict en vertu de la CISA BOD 26-04. Les organisations qui ne peuvent pas patcher immediatement doivent restreindre l acces reseau aux instances PeopleSoft aux seuls reseaux internes de confiance dans l attente du deploiement du correctif officiel.

ShinyHunters fonctionne sur un modele d extorsion directe sans chiffrement des fichiers : les donnees volee servent de levier de pression financiere. Ce mode operatoire rend la detection precoce encore plus critique que dans un incident ransomware classique, ou le chiffrement des fichiers alerte immediatement les equipes de securite et declenche les procedures de reponse a incident. Ici, l intrus peut rester silencieux plusieurs semaines apres avoir exfiltrer les donnees, laissant a l organisation victime peu de temps pour reagir avant que les donnees soient monnayees ou publiees.

PeopleSoft rejoint la liste des ERP devenus cibles strategiques

L attaque ShinyHunters sur Oracle PeopleSoft illustre une tendance de fond observee depuis plusieurs annees par les equipes de threat intelligence : les ERP et les plateformes de gestion academique et RH sont devenus des cibles de premier ordre pour les acteurs malveillants sophistiques. Contrairement aux campagnes ransomware classiques visant des serveurs Windows generalistes ou des NAS mal configures, les attaques contre les ERP temoignent d une montee en competences offensive et d une capacite a rechercher des vulnerabilites dans des logiciels complexes peu audites par la communaute de securite independante. SAP, Oracle PeopleSoft et leurs equivalents figurent desormais regulierement dans les rapports APT et dans les avis d urgence des CERT nationaux europeen et americain.

La fenetre zero-day de deux semaines est particulierement preoccupante. Elle demontre que des vulnerabilites dans des logiciels de gestion d entreprise grand public peuvent etre decouvertes et exploitees a grande echelle avant que l editeur n en ait connaissance ou ne decide de publier un correctif. Dans ce cas precis, Mandiant n a pas de preuve qu Oracle ait ete notifie en avance, ce qui pointe vers une decouverte independante par les attaquants, probablement via une analyse de code ou un fuzzing de l application web PeopleSoft. Ce type de recherche offensive sur les ERP est croissant, alimente par des marches de zero-days valorisant plusieurs centaines de milliers de dollars ce genre de faille dans des logiciels a deploiement massif.

La technique de propagation laterale via SSH necessite une attention particuliere de la part des defenseurs. La compromission initiale du serveur PeopleSoft n est que la premiere etape d une chaine d attaque potentiellement etendue a l ensemble du systeme d information. Les organisations victimes qui n ont pas detecte l intrusion rapidement peuvent avoir expose bien plus que leurs seules donnees PeopleSoft : serveurs d authentification Active Directory, bases de donnees internes, partages de fichiers. Un audit forensique complet de l infrastructure est indispensable pour toute organisation ayant opere des instances PeopleSoft 8.61 ou 8.62 exposees sur Internet entre le 27 mai et le 10 juin 2026, meme en l absence de marqueurs visibles de compromission.

Ce qu il faut retenir

• Appliquer immediatement le patch Oracle pour PeopleSoft PeopleTools 8.61 et 8.62 : CVE-2026-35273 est activement exploitee depuis le 27 mai et le correctif est disponible depuis le 10 juin 2026.
• Auditer les logs SSH et les connexions internes des semaines du 27 mai au 10 juin pour detecter toute propagation laterale depuis un serveur PeopleSoft, et rechercher le fichier README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT dans les repertoires applicatifs.
• Les 68 % de victimes dans l enseignement superieur confirment que les ERP academiques sont des cibles prioritaires pour ShinyHunters : les DSI d universites doivent evaluer leur exposition et isoler les instances non patchees sans attendre.