Le groupe de cybercriminels ShinyHunters a annoncé, le 10 juin 2026, avoir compromis 300 instances du logiciel Oracle PeopleSoft dans plus de 100 organisations à travers le monde. Les victimes sont principalement des universités, dont les données sensibles d’étudiants et de personnel ont été dérobées.
Une attaque à grande échelle contre l’enseignement supérieur
Le gang ShinyHunters, connu pour ses opérations de vol de données à grande échelle, a revendiqué cette semaine le piratage de plus de 300 instances d’Oracle PeopleSoft réparties dans une centaine d’organisations. L’information, révélée par BleepingComputer, a été confirmée par TechCrunch qui s’est entretenu avec un membre du groupe.
ShinyHunters s’est fait connaître ces dernières années par des cyberattaques retentissantes, notamment contre 7-Eleven, Charter Communications (4,9 millions de comptes) et plusieurs clients de la plateforme Snowflake. Le groupe opère par extorsion, menaçant de publier les données dérobées si les organisations visées ne paient pas de rançon.
PeopleSoft est un logiciel de gestion d’entreprise utilisé pour la paie, les ressources humaines, l’administration et d’autres opérations critiques. Les victimes identifiées sont majoritairement issues du secteur de l’enseignement supérieur. L’université de Nottingham, au Royaume-Uni, a confirmé le 10 juin avoir subi un incident de cybersécurité, et des données auraient déjà été publiées sur le site de fuite du groupe, selon BleepingComputer.
Données d’étudiants, de santé et d’immigration exfiltrées
Les données compromises incluent des dossiers d’étudiants, de candidats, d’aide financière, d’immigration, de santé ainsi que des fichiers administratifs, d’après le message envoyé par les pirates à l’une des victimes et consulté par TechCrunch. Les informations dérobées contiennent des adresses, numéros de téléphone, courriels et dates de naissance.
La plupart des établissements ciblés avaient déjà subi des cyberattaques lors de campagnes antérieures non liées à celle-ci, selon TechCrunch.
Un « gadget chain » de vulnérabilités anciennes et zero-day
Le mode opératoire repose sur ce que ShinyHunters décrit comme un « gadget chain », combinant des failles anciennes et des vulnérabilités zero-day. BleepingComputer précise que l’exploitation dépend de la configuration de chaque instance PeopleSoft, toutes n’étant pas nécessairement vulnérables.
Le chercheur en cybersécurité Michael R (@nahamike01) a découvert des répertoires exposés contenant les outils utilisés par les attaquants, notamment des agents MeshCentral et un script de défacement couplé à une tentative de connexion par identifiants SSH.
Ce script tente d’accéder aux serveurs via les comptes administrateur courants « psoft », « oracle » et « linuxadm », puis dépose un fichier de rançon nommé README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT dans les répertoires PeopleSoft.
Une tentative avortée contre le FBI
Selon les déclarations du groupe à TechCrunch, l’objectif initial de ShinyHunters était de compromettre un serveur PeopleSoft du FBI. Les cybercriminels souhaitaient publier un communiqué niant leur implication dans une vague de signalements de swatting, que le FBI avait évoquée dans une alerte publique en mai 2026. Cette tentative n’a pas abouti.
Oracle reste silencieux
Oracle n’a pas répondu aux demandes de commentaire de TechCrunch ni de BleepingComputer au moment de la publication de leurs articles respectifs, le 10 juin 2026. Les organisations utilisant Oracle PeopleSoft sont invitées à inspecter leurs journaux de connexion à la recherche des adresses IP associées aux attaquants, publiées par BleepingComputer.
Les indicateurs de compromission incluent également un certificat TLS au nom de « azurenetfiles.net », domaine déjà lié à ShinyHunters lors de précédentes campagnes.
