Tra il 27 maggio e il 9 giugno 2026, il gruppo ShinyHunters ha sfruttato come zero-day una falla critica in Oracle PeopleSoft, compromettendo oltre 100 organizzazioni in tutto il mondo prima ancora che Oracle pubblicasse un bollettino di sicurezza. Al momento della pubblicazione, avvenuta il 10 giugno, non era disponibile alcuna patch. CVE-2026-35273 interessa il componente Updates Environment Management Hub (PSEMHUB) di Oracle PeopleSoft Enterprise PeopleTools nelle versioni 8.61 e 8.62. Il punteggio CVSS � 9.8: la vulnerabilit� � sfruttabile da remoto senza autenticazione e, in caso di successo, consente l'esecuzione di codice da remoto sul sistema colpito. Oracle ha raccomandato ai clienti di applicare mitigazioni immediate senza per� rilasciare una correzione. La campagna: istruzione superiore nel mirino Mandiant (Google Threat Intelligence Group) ha confermato lo sfruttamento attivo e notificato oltre 100 organizzazioni globali i cui indirizzi IP corrispondevano a endpoint potenzialmente vulnerabili. Secondo la ricostruzione di Mandiant, ShinyHunters ha colpito circa 300 server Oracle PeopleSoft nelle organizzazioni bersaglio. Il 68% delle vittime opera nel settore dell'istruzione di grado superiore, con la maggior parte situate negli Stati Uniti. Dopo l'accesso iniziale via PSEMHUB, gli attacker hanno installato agenti MeshCentral personalizzati mascherati come servizi Microsoft Azure, stabilendo comunicazione con un server di comando e controllo presso azurenetfiles.net. Per il movimento laterale hanno utilizzato uno script denominato [victim_abbreviation]_fanout.sh, che automatizza il credential spraying via SSH con un elenco hardcoded di credenziali comuni. Nelle directory WebLogic e Process Scheduler hanno depositato un file denominato README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT. L'Universit� di Nottingham � la prima vittima confermata pubblicamente. ShinyHunters ha pubblicato 40 GB di dati personali e documentazione di fatturazione il 10 giugno, presumibilmente dopo il rifiuto dell'ateneo di pagare il riscatto. Have I Been Pwned ha censito circa 454.600 indirizzi email unici nel leak. I dati comprendono nomi, indirizzi, numeri di telefono, numeri di passaporto, etnia, disabilit� e informazioni sulle iscrizioni accademiche e le rette universitarie. Sul fronte delle mitigazioni, Mandiant raccomanda di disabilitare il servizio Environment Management Hub oppure di bloccare l'accesso esterno agli endpoint /PSEMHUB/* e /PSIGW/HttpListeningConnector. Le regole WAF con body-inspection da sole non bastano poich� possono essere aggirate. ShinyHunters ha dichiarato che la campagna � appena iniziata e che la maggior parte delle organizzazioni colpite non � stata ancora resa pubblica. Il gruppo aveva gi� sfruttato vulnerabilit� in Salesforce, Gainsight e Instructure Canvas nei dodici mesi precedenti.