Google Mandiant y el Grupo de Inteligencia de Amenazos de Google (GTIG) han revelado que están rastreando un nuevo clúster de actividad posiblemente vinculado a un actor de amenaza de motivación financiera conocido como CL0P.
La actividad maliciosa implica enviar correos electrónicos de extorsión a ejecutivos en varias organizaciones y afirmar que robaron datos confidenciales de su suite Oracle E-Business.
«Esta actividad comenzó el 29 de septiembre de 2025 o antes, pero los expertos de Mandiant todavía se encuentran en las primeras etapas de múltiples investigaciones, y aún no han justificado las afirmaciones hechas por este grupo», Genevieve Stark, jefe de análisis de inteligencia de operaciones cibernéticas y de cibercrimen en GTIG, le dijo a Hacker News en un comunicado.
Stark dijo además que la orientación es oportunista, en lugar de centrarse en industrias específicas, agregar este modus operandi es consistente con la actividad previa asociada con el sitio de fuga de datos CL0P.
El CTO Mandiant Charles Carmakal describió la actividad en curso como una «campaña de correo electrónico de alto volumen» que se lanzó a partir de cientos de cuentas comprometidas, con evidencia que sugiere que al menos una de esas cuentas se ha asociado previamente con la actividad de FIN11, que es un subconjunto dentro del grupo TA505.
Fin11, por mandiante, se ha involucrado en ataques de ransomware y extorsión desde 2020. Anteriormente, estaba vinculada a la distribución de varias familias de malware como Flawedammyy, Friendspeak y MixLabel.
«Los correos electrónicos maliciosos contienen información de contacto, y hemos verificado que las dos direcciones de contacto específicas proporcionadas también se enumeran públicamente en el sitio de fuga de datos CL0P (DLS)», agregó Carmakal. «Este movimiento sugiere fuertemente que hay alguna asociación con CL0P, y están aprovechando el reconocimiento de la marca para su operación actual».
Dicho esto, Google dijo que no tiene ninguna evidencia por sí solo para confirmar los supuestos lazos, a pesar de las similitudes en las tácticas observadas en ataques CL0P anteriores. La compañía también insta a las organizaciones a investigar sus entornos para la evidencia de la actividad del actor de amenazas.
Actualmente no está claro cómo se obtiene el acceso inicial. Sin embargo, según Bloomberg, se cree que los atacantes comprometieron los correos electrónicos de los usuarios y abusaron de la función de restablecimiento de contraseña predeterminada para obtener credenciales válidas de los portales de Oracle E-Business Suite, citando información compartida por Halycon.
Cuando se le contactó para hacer comentarios, Oracle le dijo a The Hacker News que es «consciente de que algunos clientes de Oracle E-Business Suite (EBS) han recibido correos electrónicos de extorsión» y que su investigación continua ha encontrado el «uso potencial de vulnerabilidades previamente identificadas que se abordan en la actualización de parche crítico de julio de 2025».
Rob Duhart, director de seguridad de Oracle Corporation, también ha instado a los clientes a aplicar la última actualización de parche crítico para salvaguardar contra la amenaza. La compañía, sin embargo, no dijo qué vulnerabilidades están bajo explotación activa.
En los últimos años, el grupo CL0P altamente prolífico se ha atribuido a una serie de ondas de ataque que explotan fallas de día cero en el TLC de aceleración, SolarWinds Serv-U FTP, Fortra Goanywhere MFT y las plataformas de transferencia de movimientos de progreso, incumpliendo con éxito miles de organizaciones.
Actualizar
La compañía de ciberseguridad Halcyon, en un informe publicado el jueves, dijo que los atacantes están abusando de la función de restablecimiento de contraseña predeterminada para obtener credenciales válidas. Específicamente, se basa en las cuentas locales de Oracle EBS, evitando las protecciones de SSO debido a la falta de MFA en estas cuentas, lo que permite a los actores de amenaza activar los restablecimientos de contraseña a través de cuentas de correo electrónico comprometidas y obtener acceso válido a los usuarios.
«Las cuentas locales evitan los controles SSO empresariales y, a menudo, carecen de MFA, dejando a miles de organizaciones expuestas», dijo en una alerta. «Las demandas de rescate han alcanzado hasta $ 50 millones, y los atacantes proporcionan pruebas de compromiso, incluidas capturas de pantalla y árboles de archivos».
(La historia se actualizó después de la publicación para incluir una respuesta de Oracle y Google, y detalles adicionales de Halcyon).