Una nuova ondata di attacchi informatici ha colpito i sistemi enterprise basati su Oracle E-Business Suite, sfruttando una vulnerabilità zero-day che consente l’esecuzione di codice remoto e l’esfiltrazione di dati sensibili. Gli esperti di Google Threat Intelligence Group (GTIG) e Mandiant attribuiscono le operazioni a hacker affiliati al gruppo Cl0p, noti per campagne di estorsione globale su piattaforme di trasferimento dati come MOVEit e Accellion FTA.
Gli attacchi, iniziati a luglio 2025, hanno raggiunto il picco tra settembre e ottobre, quando Oracle ha confermato la falla CVE-2025-61882 e rilasciato una patch di emergenza il 4 ottobre 2025. Secondo GTIG, la vulnerabilità consente server-side request forgery, CRLF injection e remote code execution, con impatti su decine di organizzazioni a livello internazionale. Oracle ha raccomandato un aggiornamento immediato per tutte le istanze di E-Business Suite esposte su internet, mentre Mandiant ha evidenziato forti sovrapposizioni con il cluster FIN11, storico partner di Cl0p attivo in campagne di mass exploitation dal 2020.
Cosa leggere
Attori coinvolti e tattiche di attacco
Le operazioni sono state condotte da hacker affiliati a Cl0p che hanno sfruttato la falla zero-day di Oracle EBS per accedere a sistemi esposti e installare malware personalizzati. Le analisi tecniche di GTIG indicano l’uso di strumenti come GOLDVEIN e SAGEGIFT, moduli modulari sviluppati per caricare payload in memoria e garantire persistenza attraverso servlet filter e task schedulati.
Gli aggressori hanno impiegato server UiServlet e SyncServlet come punti di ingresso, concatenando exploit SSRF e XSL template injection per distribuire payload Java offuscati. Questi includono catene cifrate con AES-GCM e comunicazioni C2 simulate tramite handshake TLS sulla porta 465, con codifica XOR per nascondere il traffico. Il targeting ha coinvolto decine di organizzazioni multinazionali, con particolare concentrazione nei settori finanziario, manifatturiero e pubblico. Le intrusioni sono seguite da campagne di estorsione mirate, in cui dirigenti aziendali hanno ricevuto email provenienti da account compromessi contenenti prove di furto dati. GTIG ha tracciato traffico anomalo da IP sudamericani e identificato exploit condivisi su gruppi Telegram underground, indicando un ecosistema cybercrime interconnesso. Le sovrapposizioni con UNC5936, già osservato in attacchi Cleo MFT, suggeriscono la cooperazione tra più cluster affiliati a Cl0p per massimizzare la portata delle campagne.
Vulnerabilità sfruttate in Oracle EBS
Il bug CVE-2025-61882, con punteggio CVSS 9.8, rappresenta una delle falle più critiche mai segnalate nella suite Oracle. L’exploit consente di creare template malevoli nel database XDO_TEMPLATES_B e di iniettarvi codice eseguibile attraverso XSL template injection. Gli aggressori inviano richieste POST a /OA_HTML/SyncServlet per caricare template fraudolenti e successivamente attivano la catena via OA.jsp, utilizzando parametri casuali nel campo TemplateCode. Le varianti più avanzate, osservate da Mandiant, incorporano SAGEWAVE, un filtro Java progettato per mantenere connessioni C2 persistenti e monitorare richieste HTTP in uscita. Il payload GOLDVEIN.JAVA agisce come downloader, richiedendo un secondo stadio da server remoti, mentre il componente SAGEGIFT opera come loader riflessivo per ambienti WebLogic. GTIG ha individuato indicatori di compromissione nei log HTML, dove gli aggressori annotano comandi e output all’interno di commenti nascosti, una tecnica già usata in precedenti operazioni FIN11.
Metodologia d’attacco e strumenti usati
Le campagne di Cl0p si distinguono per l’approccio “low footprint”, incentrato su esfiltrazione e doppia estorsione anziché sulla crittografia dei sistemi. Gli attori si limitano a compromettere applicazioni web pubbliche per minimizzare i movimenti laterali, ottenendo rapidamente l’accesso ai dati senza scatenare allarmi interni.
Le catene d’attacco osservate includono l’uso di Base64 encoded chains, task persistenti come MyGoTask e l’esecuzione di comandi di ricognizione come ps -aux, df -h e cat /etc/hosts per mappare i sistemi. Gli attaccanti utilizzano anche infostealer logs provenienti dal dark web per acquisire credenziali valide e accelerare la compromissione iniziale. Mandiant ha rilevato l’impiego di GOLDTOMB CLI per la gestione remota dei server infetti, con funzioni di file transfer e exfiltration cifrata. La fase finale prevede l’invio di email di ricatto a dirigenti e responsabili IT, contenenti elenchi di file sottratti o screenshot dei database Oracle violati. Finora, nessuna delle vittime è comparsa sul Cl0p Data Leak Site (DLS), un segnale che gli hacker preferiscono trattative private per massimizzare i profitti, seguendo il modello già usato negli attacchi MOVEit e GoAnywhere.
Impatto e risposta delle organizzazioni colpite
Le violazioni di Oracle EBS hanno generato interruzioni operative e rischio di perdita di dati riservati per decine di aziende. Gli incidenti hanno comportato downtime prolungati, costi di indagine forense e spese di compliance, soprattutto nei settori regolamentati. Secondo GTIG, le prime tracce dell’exfiltrazione risalgono ad agosto 2025, mentre le comunicazioni estorsive sono iniziate in settembre. Le entità colpite operano in Nord America, Europa e Asia, con impatti particolarmente gravi sulle infrastrutture ERP pubblicamente accessibili. Mandiant sottolinea come la scelta di non distribuire ransomware ma di puntare su furto e pressione psicologica renda questi attacchi più difficili da rilevare, poiché non lasciano immediatamente tracce visibili. Le email di minaccia, spesso firmate da “[email protected]”, includono riferimenti a database reali e nomi di file legittimi, rendendo credibile la richiesta di riscatto.
Raccomandazioni per la difesa
Le autorità di sicurezza e gli esperti raccomandano l’applicazione immediata delle patch Oracle rilasciate il 4 ottobre 2025, oltre a un’analisi forense delle tabelle XDO_TEMPLATES_B per individuare template sospetti. Oracle suggerisce di cercare voci con TemplateCode contenente TMP o DEF, indicatori di manipolazioni malevole. GTIG consiglia inoltre di monitorare il traffico in uscita dai server EBS e di bloccare indirizzi IP sospetti come 200.107.207.26, associati alle prime campagne. L’adozione di EDR e regole YARA specifiche per rilevare stringhe legate a GOLDVEIN, SAGEGIFT e SAGEWAVE risulta fondamentale per la prevenzione. Sul fronte Microsoft, AWS ha affrontato una vulnerabilità distinta (CVE-2025-11573) nella libreria IonDotnet, utilizzata in applicazioni .NET. Il bug causava un denial of service attraverso input manipolati; Amazon ha deprecato le versioni precedenti alla 1.3.2 e rilasciato aggiornamenti correttivi. Questi episodi confermano la crescente esposizione del software enterprise a catene di attacco complesse, dove vulnerabilità applicative e tattiche di estorsione convergono in una minaccia ibrida globale.
