En un sofisticado ataque de ciberseguridad, Google Threat Intelligence Group (GTIG) y Mandiant han detectado una operación de extorsión masiva que explota una vulnerabilidad de día cero en Oracle E-Business Suite (EBS). La campaña, vinculada al conocido grupo CL0P, ha estado en marcha desde julio de 2025, ejecutando sus ataques sin ser detectada durante meses.
El vector de ataque principal aprovecha la vulnerabilidad CVE-2025-61882, clasificada con un CVSS de 9,8, lo que le permite al grupo explotar componentes críticos de EBS expuestos a Internet. Desde el 29 de septiembre de 2025, los cibercriminales han lanzado una serie de correos electrónicos de extorsión dirigidos a ejecutivos de múltiples sectores para exigir pagos a cambio de no filtrar datos sensibles.
Oracle, consciente de la gravedad de la situación, ha publicado parches de emergencia y urge a sus clientes a implementarlos de inmediato para bloquear el acceso no autorizado.
Modus Operandi
La metodología del ataque incluye el envío de correos de extorsión desde cuentas comprometidas, y el uso de listados auténticos de archivos robados de EBS para validar sus amenazas. Sin atribución confirmada, la infraestructura utilizada refleja tácticas históricas de CL0P y FIN11.
Para comprometer Oracle EBS, los atacantes emplean complejas cadenas de exploits, como peticiones maliciosas a /OA_HTML/configurator/UiServlet y /OA_HTML/SyncServlet, logrando ejecución remota de código (RCE) sin necesidad de autenticación.
Herramientas de Infección
Entre las herramientas desplegadas, destaca GOLDVEIN.JAVA, que actúa como un descargador conectándose a servidores de mando y control disfrazados. La familia de malware SAGE, que incluye SAGEGIFT, SAGELEAF y SAGEWAVE, permite a los atacantes mantener un control persistente sobre los sistemas comprometidos.
Una vez dentro, los cibercriminales ejecutan comandos de reconocimiento y establecen conexiones inversas para controlar los dispositivos afectados.
Respuesta Urgente
Ante esta amenaza, es crucial aplicar los parches de Oracle inmediatamente, auditar cualquier actividad sospechosa en las plantillas XDO y fortalecer las defensas cibernéticas. Se recomienda bloquear todas las salidas no esenciales a Internet desde servidores EBS y aumentar la monitorización de tráfico sospechoso.
Los expertos también sugieren prepararse adecuadamente frente a posibles extorsiones, estableciendo estrategias claras y coordinadas con las autoridades pertinentes, dejando claro que no se recomienda el pago a los delincuentes.
Conclusión
La infiltración en Oracle EBS subraya la necesidad urgente de mantener actualizadas las defensas cibernéticas, especialmente en sistemas críticos para operaciones empresariales. Las empresas deben permanecer vigilantes y proactivas, adoptando medidas preventivas y de respuesta efectivas ante el creciente paisaje de amenazas.
