Un attacco informatico di vasta portata ha preso di mira le aziende che utilizzano Oracle E-Business Suite, con i cybercriminali che hanno sfruttato vulnerabilità critiche per sottrarre dati sensibili e successivamente ricattare i dirigenti aziendali. L'operazione, analizzata dai ricercatori di Google Threat Intelligence e Mandiant, rappresenta un esempio emblematico di come i gruppi criminali moderni combinino exploit tecnici sofisticati con strategie di estorsione su larga scala.
Al centro dell'attacco si trova la vulnerabilità CVE-2025-61882, classificata con un punteggio CVSS di 9.8 che indica la massima criticità. Questa falla di sicurezza colpisce le versioni di Oracle E-Business Suite dalla 12.2.3 alla 12.2.14, in particolare nel componente BI Publisher Integration. Gli esperti di sicurezza sottolineano che si tratta di una vulnerabilità facilmente sfruttabile tramite protocollo HTTP, che consente ad attaccanti remoti non autenticati di assumere il controllo completo del componente Oracle Concurrent Processing.
Oracle ha dovuto rilasciare una patch di emergenza per correggere questa falla critica, ma il danno era ormai fatto. I ricercatori di CrowdStrike hanno documentato come lo sfruttamento della vulnerabilità sia iniziato già il 9 agosto, con tracce di attività sospette risalenti addirittura al 10 luglio, poco prima del rilascio delle patch di sicurezza di luglio da parte di Oracle.
L'analisi tecnica condotta da Google Threat Intelligence ha rivelato una metodologia di attacco particolarmente elaborata. Gli aggressori hanno inizialmente effettuato richieste HTTP POST verso l'endpoint /OA_HTML/SyncServlet per aggirare i controlli di autenticazione, talvolta abusando di account amministrativi di E-Business Suite. Successivamente, hanno preso di mira il componente XML Publisher Template Manager di Oracle, utilizzando gli endpoint /OA_HTML/RF.jsp e /OA_HTML/OA.jsp per caricare template XSLT malevoli.
Una volta eseguiti con successo, questi template hanno aperto connessioni TLS verso l'infrastruttura degli attaccanti sulla porta 443, consentendo il caricamento di web shell per l'esecuzione di comandi e il mantenimento della persistenza nel sistema. In alcuni casi, i criminali hanno utilizzato due file specifici: FileUtils.java per il download di componenti aggiuntivi e Log4jConfigQpgsubFilter.java come backdoor principale.
L'indagine ha identificato due catene di payload Java distinte incorporate negli XSL utilizzati durante la campagna. La prima, denominata GOLDVEIN.JAVA, funziona come downloader che comunica con server di comando e controllo mascherandosi come handshake "TLSv3.1" e restituisce log di esecuzione nascosti all'interno di commenti HTML. Questo componente è collegato a una famiglia di malware PowerShell osservata in precedenti campagne Cleo.
La seconda catena, più complessa, è stata chiamata SAGE e consiste in una sequenza annidata: SAGEGIFT (caricatore riflessivo codificato in Base64), SAGELEAF (dropper in memoria con funzionalità di logging) e SAGEWAVE (filtro servlet malevolo). Quest'ultimo installa un archivio ZIP crittografato AES contenente classi Java, mentre alcune varianti richiedono un header X-ORACLE-DMS-ECID specifico e utilizzano percorsi HTTP filtrati.
Sebbene Google Threat Intelligence non abbia attribuito definitivamente gli attacchi a un gruppo specifico, le sovrapposizioni tecniche e tattiche suggeriscono collegamenti con FIN11 e il marchio di estorsione CL0P. Charles Carmakal, CTO di Mandiant, ha confermato che gli aggressori hanno utilizzato centinaia di account compromessi in una campagna di estorsione di massa, con almeno un account collegabile al gruppo FIN11, noto per le sue motivazioni finanziarie.
La campagna ha riutilizzato indirizzi email di contatto associati a CL0P e ha mostrato collegamenti tecnici con i malware GOLDVEIN.JAVA e GOLDTOMB utilizzati da FIN11/UNC5936 durante gli exploit di Cleo MFT nel 2024. Il 29 settembre 2025, il gruppo Cl0p ha inviato email alle organizzazioni rivendicando il furto di dati da Oracle E-Business Suite.
