Az Oracle PeopleSoft rendszereit jelenleg egy kiterjedt adatlopási kampány célozza, amely mögött a hírhedt ShinyHunters zsaroló és adatlopó csoport állhat. A támadók felhő és helyszíni (on-premise) PeopleSoft környezeteket egyaránt támadnak, és már több mint 100 szervezetet érinthettek. A támadók állítása szerint összesen mintegy 300 PeopleSoft példányból szereztek adatokat. A célpontok jelentős része az oktatási szektorból került ki, és több érintett intézményt korábban is megpróbáltak zsarolni. A fenyegető szereplők szerint egy régebbi és egyelőre nem publikált, úgynevezett zero-day sérülékenységeket kombináló „gadget chain” segítségével hajtják végre a kompromittálásokat, bár a sikeres támadás nagyban függ az adott rendszer konfigurációjától.

Az Oracle egyelőre nem adott ki hivatalos tájékoztatást a feltételezett sérülékenységekről vagy a folyamatban lévő támadásokról, ugyanakkor független kutatók olyan nyilvánosan elérhető szervereket azonosítottak, amelyek a támadásokhoz kapcsolódó eszközöket és infrastruktúrát tartalmaztak. Ezek között MeshCentral kliensprogramok, hitelesítőadat-szóró (credential spraying) szkriptek, valamint rendszerfeltörés utáni tevékenységekhez használt fájlok is megtalálhatók voltak. A ShinyHunters azt is állítja, hogy megpróbáltak hozzáférni az FBI egyik PeopleSoft alapú portáljához, azonban a kísérlet sikertelen volt. A Nottinghami Egyetem esetében sikeres kompromittálásról számoltak be, amelyet az intézmény egy kibervédelmi incidensről szóló közleménye is alátámasztott.

A kutatók által közzétett indikátorok (IOC-k) között több IP-cím is szerepel, amelyek kapcsolatba hozhatók a kampánnyal. Egyes szervereken az „azurenetfiles[.]net” domainhez tartozó TLS-tanúsítványokat használták, amelyet korábban már a ShinyHunters infrastruktúrájával hoztak összefüggésbe. A feltárt parancssori előzmények szerint a támadók automatizált szkriptekkel keresik fel a PeopleSoft környezetekhez kapcsolódó szervereket, majd ismert adminisztratív fiókokkal, például „psoft”, „oracle” vagy „linuxadm” próbálnak SSH-hozzáférést szerezni. Sikeres behatolás esetén váltságdíj-üzenetet helyeznek el a PeopleSoft alkalmazás- és webszervereken. A szakértők arra figyelmeztetik az érintett szervezeteket, hogy haladéktalanul vizsgálják át naplóállományaikat a megadott IP-címek után kutatva, és gyanús aktivitás esetén indítsanak incidenskezelési eljárást, valamint fontolják meg az érintett rendszerek internetkapcsolatának ideiglenes korlátozását.