Il gruppo ShinyHunters torna al centro della scena cyber con una vasta campagna contro infrastrutture Oracle PeopleSoft che ha coinvolto oltre cento organizzazioni in diversi settori e portato all’esposizione di enormi quantità di dati sensibili. Tra le vittime più colpite figura l’Università di Nottingham, che ha confermato il furto di informazioni appartenenti a oltre 450.000 studenti attuali ed ex studenti distribuiti tra Regno Unito, Malesia e Cina. Parallelamente è emerso un incidente distinto che coinvolge ServiceNow, dove una vulnerabilità in un endpoint API ha consentito accessi non autorizzati a dati presenti nelle istanze di alcuni clienti. I due episodi evidenziano ancora una volta come piattaforme enterprise critiche, sistemi universitari e servizi cloud restino bersagli privilegiati per gruppi criminali specializzati nell’estorsione e nel furto di dati. Le organizzazioni coinvolte stanno conducendo indagini forensi e verifiche approfondite, mentre esperti di sicurezza raccomandano un controllo immediato dei log e delle configurazioni per individuare eventuali compromissioni ancora attive.
Cosa leggere
ShinyHunters prende di mira le infrastrutture Oracle PeopleSoft
La campagna attribuita a ShinyHunters ha colpito server Oracle PeopleSoft, una delle piattaforme più diffuse per la gestione di processi aziendali e amministrativi. Il software viene utilizzato da università, enti pubblici e grandi organizzazioni per amministrare risorse umane, paghe, finanza, supply chain e sistemi di gestione studenti. Secondo le informazioni emerse, il gruppo criminale avrebbe ottenuto accesso a circa 300 istanze PeopleSoft appartenenti a oltre 100 organizzazioni, con una particolare concentrazione nel settore accademico. Gli aggressori hanno sfruttato una catena di vulnerabilità composta da falle note e componenti zero-day, adattando l’attacco alle configurazioni specifiche delle singole installazioni. Una volta ottenuto l’accesso, hanno depositato note di riscatto all’interno delle directory web e degli application server e hanno utilizzato strumenti automatizzati per individuare sistemi vulnerabili attraverso connessioni SSH che sfruttavano account predefiniti come psoft, oracle e linuxadm. L’operazione dimostra una conoscenza approfondita dell’architettura PeopleSoft e delle modalità con cui molte organizzazioni gestiscono ancora sistemi legacy esposti a Internet.
Gli indicatori di compromissione e le tecniche utilizzate dagli attaccanti
Le analisi tecniche condotte dagli esperti hanno individuato diversi indicatori di compromissione associati alla campagna. Tra questi figurano connessioni provenienti dagli indirizzi IP 142.11.200.186, 142.11.200.187, 142.11.200.188, 142.11.200.189, 142.11.200.190 e 108.174.202.99, utilizzati durante le fasi di scansione e sfruttamento. Gli aggressori hanno combinato tecniche di ricognizione, accesso remoto e movimento laterale per ottenere il controllo delle istanze vulnerabili e raccogliere grandi quantità di dati. La presenza di vulnerabilità non corrette e configurazioni non aggiornate ha favorito l’attività del gruppo, che ha successivamente pubblicato parte delle informazioni sottratte e inviato richieste di estorsione alle organizzazioni colpite. L’episodio conferma come piattaforme enterprise mature ma complesse possano trasformarsi in un bersaglio privilegiato quando la gestione delle patch non avviene con sufficiente rapidità. È emerso inoltre che ShinyHunters avrebbe tentato di compromettere anche un portale dell’FBI basato su PeopleSoft, senza però riuscire a completare l’operazione.
L’Università di Nottingham tra le vittime più colpite
Tra tutte le organizzazioni coinvolte, l’Università di Nottingham rappresenta il caso più grave emerso pubblicamente. Gli attaccanti hanno sottratto oltre 40 GB di dati riguardanti circa 454.600 studenti ed ex studenti, inclusi quelli appartenenti ai campus internazionali dell’ateneo. Il materiale trafugato contiene informazioni estremamente sensibili che spaziano dai dati anagrafici ai dettagli finanziari.
Sono stati esposti indirizzi di residenza, numeri di telefono, indirizzi email, date di nascita, informazioni sulle iscrizioni accademiche, dati relativi ai pagamenti delle tasse universitarie, dettagli di fatturazione e persino informazioni riguardanti etnia, disabilità e numeri di passaporto. In alcuni casi risultano presenti anche dati relativi a carte di pagamento e documentazione amministrativa esportata dai sistemi interni. La quantità e la qualità delle informazioni sottratte rendono questo incidente particolarmente pericoloso, poiché gli aggressori dispongono di dati sufficienti per attività di furto d’identità, frodi finanziarie e campagne di phishing altamente mirate.
Le risposte dell’ateneo e i rischi per studenti ed ex studenti
L’Università di Nottingham ha confermato ufficialmente la violazione e ha avviato un’indagine con il supporto di specialisti esterni di digital forensics. L’istituzione ha inoltre notificato l’incidente all’Information Commissioner’s Office del Regno Unito e ad Action Fraud, l’organismo britannico dedicato alla gestione delle segnalazioni di crimini informatici. La pubblicazione di una parte dei dati rubati da parte di ShinyHunters aumenta significativamente il livello di rischio per gli interessati, poiché le informazioni potrebbero essere rapidamente riutilizzate da altri gruppi criminali. Gli studenti e gli ex studenti coinvolti dovranno monitorare attentamente eventuali comunicazioni sospette, verificare movimenti anomali sui propri conti e prestare particolare attenzione a tentativi di social engineering che sfruttino dettagli personali reali. L’incidente evidenzia quanto le piattaforme universitarie rappresentino oggi un obiettivo strategico per il cybercrime, soprattutto quando concentrano enormi quantità di dati amministrativi, finanziari e personali in un’unica infrastruttura.
ServiceNow conferma un incidente legato a un endpoint API
Parallelamente alla vicenda PeopleSoft, ServiceNow ha comunicato un incidente di sicurezza distinto che ha coinvolto alcune istanze dei clienti. In questo caso il problema è stato causato da una vulnerabilità presente in un endpoint API che, in determinate configurazioni, consentiva l’esecuzione di query senza autenticazione. Gli aggressori hanno sfruttato questa debolezza per accedere a dati memorizzati nelle tabelle delle istanze interessate. Dopo aver individuato attività anomale, l’azienda ha distribuito il 5 giugno 2026 una correzione che impone l’autenticazione per l’endpoint vulnerabile. Prima dell’applicazione della patch, tuttavia, soggetti non autorizzati sono riusciti a interrogare informazioni appartenenti ai clienti. ServiceNow ha aperto casi di supporto dedicati per le organizzazioni potenzialmente coinvolte e ha diffuso comunicazioni riservate per facilitare le attività di verifica e contenimento.
Quali dati potrebbero essere stati esposti nelle istanze ServiceNow
Le informazioni potenzialmente accessibili attraverso l’endpoint vulnerabile includono ticket di supporto IT, documentazione interna, inventari degli asset aziendali, registri relativi agli incidenti di sicurezza e dettagli di configurazione dei sistemi. Particolarmente delicata risulta la possibile esposizione di ticket contenenti credenziali, token API, chiavi di accesso e altri segreti operativi utilizzati dalle organizzazioni. ServiceNow ha precisato che l’attività osservata potrebbe essere collegata anche a ricercatori di sicurezza o verifiche connesse a programmi di bug bounty, ma ha comunque confermato che la vulnerabilità è stata sfruttata prima della distribuzione della correzione. Per questo motivo i clienti sono stati invitati a esaminare attentamente i log relativi all’endpoint /api/now/related_list_edit, verificando eventuali richieste provenienti dall’indirizzo IP 51.159.98.241 e procedendo, se necessario, alla rotazione di credenziali e token esposti.
Sistemi legacy e API restano tra i principali punti deboli
I casi che coinvolgono Oracle PeopleSoft e ServiceNow mostrano due facce differenti dello stesso problema: la difficoltà di proteggere infrastrutture critiche che gestiscono grandi quantità di dati sensibili. Nel primo caso il rischio deriva da piattaforme enterprise complesse, spesso operative da anni e non sempre aggiornate tempestivamente. Nel secondo emerge l’importanza di configurare correttamente le API, che rappresentano ormai uno degli elementi centrali nelle architetture moderne. Un singolo endpoint esposto in modo errato può trasformarsi in un punto d’ingresso capace di compromettere informazioni estremamente preziose. Le organizzazioni dovrebbero adottare un approccio basato su zero trust, monitoraggio continuo, autenticazione forte e verifica costante delle configurazioni, affiancando queste misure a programmi di gestione delle vulnerabilità e test di sicurezza periodici.
Lezioni di sicurezza dopo gli incidenti PeopleSoft e ServiceNow
La campagna di ShinyHunters e la vulnerabilità che ha interessato ServiceNow confermano che gli aggressori continuano a concentrare gli sforzi su piattaforme che custodiscono dati di elevato valore economico e strategico. Università, enti pubblici e grandi aziende restano bersagli privilegiati perché conservano enormi quantità di informazioni personali, finanziarie e operative. Per ridurre il rischio di compromissione è fondamentale applicare tempestivamente le patch di sicurezza, limitare l’esposizione dei servizi amministrativi su Internet, rafforzare il monitoraggio dei log e verificare regolarmente la configurazione degli endpoint API. Gli incidenti emersi nel giugno 2026 dimostrano che anche infrastrutture considerate mature possono trasformarsi rapidamente in vettori di compromissione quando vengono trascurati aggiornamenti, segmentazione di rete e controlli di accesso.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
