Nissan Americas ha confirmado oficialmente una grave brecha de datos que afecta a empleados y exempleados en Estados Unidos, Canadá, México y Brasil. El incidente es consecuencia directa de la explotación de una vulnerabilidad Zero-Day (Día Cero) en el software de recursos humanos Oracle PeopleSoft. Atribuida al grupo de extorsión ShinyHunters (rastreado por Mandiant como UNC6240), la campaña masiva vulneró a más de 100 organizaciones entre finales de mayo y principios de junio de 2026. Los atacantes exfiltraron información altamente sensible, incluyendo números de Seguro Social (SSN), registros fiscales y datos bancarios de nómina.
Veredicto Analítico
- Estado: Confirmado. Brecha notificada oficialmente por Nissan el 25 de junio de 2026. Parche de emergencia liberado por Oracle el 10 de junio de 2026.
- Confianza: Absoluta. Validado por notificaciones corporativas de Nissan, reportes de inteligencia de Google Mandiant/GTIG y avisos fuera de ciclo (Out-of-Band) de Oracle.
- Riesgo para SOC, TDIR y CloudOps: Crítico (CVSS 9.8). Exposición de aplicaciones corporativas de misión crítica (ERP/HR) que permiten la Ejecución Remota de Código (RCE) sin necesidad de autenticación.
- Urgencia Operativa: Inmediata. Las organizaciones que utilizan Oracle PeopleSoft deben verificar el compromiso (Threat Hunting) y aplicar las mitigaciones de inmediato, ya que la ventana de explotación masiva estuvo abierta durante al menos dos semanas antes del parche.
- Base del Veredicto: Explotación de vulnerabilidad de falsificación de peticiones del lado del servidor (SSRF) que deriva en RCE, impactando el componente Environment Management Hub (EMHub) de PeopleTools.
Hallazgos Clave
Vulnerabilidad Principal (CVE-2026-35273 | Severidad: Crítica | CVSS: 9.8) El fallo reside en el componente Environment Management Hub (EMHub) de Oracle PeopleSoft Enterprise PeopleTools (versiones 8.61 y 8.62). Permite a un atacante no autenticado enviar peticiones maliciosas que resultan en Server-Side Request Forgery (SSRF) y, en última instancia, en la ejecución remota de código.
Persistencia Silenciosa A diferencia de los ataques tradicionales de ransomware que cifran los datos, ShinyHunters se centró en la exfiltración pura y el establecimiento de puertas traseras (backdoors). Para ello, utilizaron herramientas legítimas de administración remota (RMM), específicamente MeshCentral, disfrazando los agentes maliciosos como servicios de Microsoft Azure para evadir la detección de los EDR/XDR.
Impacto Operativo en Nissan Como medida de precaución tras el incidente, Nissan ha bloqueado el acceso a las funciones de nómina. Actualmente, los empleados deben utilizar computadoras de la red corporativa o conexiones VPN seguras para ver sus recibos de sueldo o cambiar detalles de depósito directo, sumado a estrictos controles de verificación de identidad.
Análisis Técnico
La telemetría de la campaña revela un ciclo de ataque altamente automatizado:
- Reconocimiento y Explotación: Los atacantes realizaron escaneos masivos en Internet buscando endpoints expuestos, específicamente dirigidos a /PSEMHUB/* y /PSIGW/HttpListeningConnector.
- Amplificación (SSRF a RCE): Se utilizaron peticiones manipuladas hacia el PeopleSoft Integration Gateway (PSIGW) para retransmitir y amplificar los comandos hacia el EMHub, logrando ejecutar código en el servidor.
- Persistencia y Evasión: Una vez dentro, los actores de amenazas desplegaron webshells JSP, alteraron archivos de configuración de EMHub para ejecutar código tras el reinicio del servidor, e instalaron agentes de MeshCentral.
- Movimiento Lateral y Exfiltración: Se observó un intenso escaneo interno (Credential Spraying) y el forzado de tráfico saliente SMB (TCP puerto 445) hacia infraestructura controlada por el atacante para capturar credenciales adicionales y extraer los datos de nómina.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (Exploit Public-Facing Application – T1190).
- Persistencia y Mando: Software de Acceso Remoto legítimo (Remote Access Software – T1219) y Webshells (Server Software Component – T1505.003).
- Evasión de Defensas: Enmascaramiento de procesos (Masquerading – T1036) bajo la apariencia de servicios de Azure.
- Exfiltración y Movimiento: Forzado de autenticación SMB / Túneles de red (OS Credential Dumping / Non-Standard Port).
Recomendaciones Operativas
Para Administración de Servidores y CloudOps (Acción Inmediata)
- Parcheo Fuera de Ciclo: Aplicar de forma inmediata las actualizaciones de emergencia de Oracle para CVE-2026-35273.
- Aislamiento de la Aplicación: Deshabilitar el servicio Environment Management Hub (EMHub) si no es estrictamente necesario. Si su uso es obligatorio, restringir el acceso exclusivamente a redes administrativas internas y bloquear el acceso desde Internet a los endpoints de EMHub y PSIGW.
Para el Centro de Operaciones de Seguridad (SOC)
- Threat Hunting de Persistencia (MeshCentral): Buscar instalaciones no autorizadas de agentes MeshCentral, prestando especial atención a servicios o procesos que intenten suplantar la nomenclatura de Microsoft Azure.
- Análisis de Tráfico de Red (NTA): Alertar y bloquear de forma estricta cualquier intento de tráfico SMB saliente (Puerto TCP 445) desde los servidores que alojan PeopleSoft hacia direcciones IP externas.
- Auditoría de Directorios y Logs: Revisar los directorios del servidor web y de aplicaciones en busca de webshells JSP recientes o la creación de nuevos directorios ocultos, así como verificar los registros de autenticación en busca de intentos de Credential Spraying utilizando cuentas por defecto de Oracle o Linux.




