Google Mandiant y Google Threat Intelligence Group (GTIG) han revelado que están rastreando un nuevo clúster de actividad posiblemente vinculado a un actor de amenaza de motivación financiera conocido como CL0P.
La actividad maliciosa implica enviar correos electrónicos de extorsión a ejecutivos en varias organizaciones y afirmar que robaron datos confidenciales de su suite Oracle E-Business.
«Esta actividad comenzó el 29 de septiembre de 2025 o antes, pero los expertos de Mandiant todavía se encuentran en las primeras etapas de múltiples investigaciones, y aún no han justificado las afirmaciones hechas por este grupo», Genevieve Stark, jefe de análisis de inteligencia de operaciones cibernéticas y de cibercrimen en GTIG, le dijo a Hacker News en un comunicado.
Stark dijo además que la orientación es oportunista, en lugar de centrarse en industrias específicas, agregar este modus operandi es consistente con la actividad previa asociada con el sitio de fuga de datos CL0P.
El CTO Mandiant Charles Carmakal describió la actividad en curso como una «campaña de correo electrónico de alto volumen» que se lanzó a partir de cientos de cuentas comprometidas, con evidencia que sugiere que al menos una de esas cuentas se ha asociado previamente con la actividad de Aleta11que es un subconjunto dentro del TA505 grupo.
Fin11, por mandiante, se ha involucrado en ataques de ransomware y extorsión desde 2020. Anteriormente, estaba vinculada a la distribución de varias familias de malware como Flawedammyy, Friendspeak y MixLabel.
«Los correos electrónicos maliciosos contienen información de contacto, y hemos verificado que las dos direcciones de contacto específicas proporcionadas también se enumeran públicamente en el sitio de fuga de datos CL0P (DLS)», agregó Carmakal. «Este movimiento sugiere fuertemente que hay alguna asociación con CL0P, y están aprovechando el reconocimiento de la marca para su operación actual».
Dicho esto, Google dijo que no tiene ninguna evidencia por sí solo para confirmar los supuestos lazos, a pesar de las similitudes en las tácticas observadas en ataques CL0P anteriores. La compañía también insta a las organizaciones a investigar sus entornos para la evidencia de la actividad del actor de amenazas.
Actualmente no está claro cómo se obtiene el acceso inicial. Sin embargo, según Bloombergse cree que los atacantes comprometieron los correos electrónicos de los usuarios y abusaron de la función de restablecimiento de contraseña predeterminada para obtener credenciales válidas de los portales de Oracle E-Business Suite, citando información compartida por Halycon.
Cuando se contactó para hacer comentarios, Oracle le dijo a The Hacker News que es «consciente de que algunos clientes de Oracle E-Business Suite (EBS) han recibido correos electrónicos de extorsión» y que su investigación continua ha encontrado el «uso potencial de vulnerabilidades previamente identificadas que se abordan en el Actualización de parche crítico de julio de 2025«
Rob Duhart, director de seguridad de Oracle Corporation, también tiene impuesto Los clientes aplicarán la última actualización de parche crítico para salvaguardar contra la amenaza. La compañía, sin embargo, no dijo qué vulnerabilidades están bajo explotación activa.
En los últimos años, el grupo CL0P altamente prolífico ha sido atribuido Para una serie de ondas de ataque que explotan fallas de día cero en el TLC de Accelion, SolarWinds Serv-U FTP, Fortra Goanywhere Mft y Progress Moveit Transfer Platforms, violando con éxito miles de organizaciones.
(La historia se actualizó después de la publicación para incluir un formulario de respuesta Oracle y Google).
Fuente