Google Mandiant y Google Threat Intelligence Group (GTIG) han alertado sobre una nueva campaña de extorsión dirigida a organizaciones que utilizan Oracle E-Business Suite. Aunque aún se encuentran en fases tempranas de investigación, los indicios apuntan a una posible conexión con el grupo de ransomware Cl0p, conocido por campañas globales de alto impacto.
Detalles de la campaña
Según Mandiant, la actividad maliciosa comenzó a finales de septiembre de 2025 y consiste en el envío masivo de correos de extorsión a ejecutivos, alegando la sustracción de información confidencial de entornos Oracle.
Los mensajes incluyen datos de contacto que coinciden con direcciones publicadas en el sitio de filtraciones de Cl0p (DLS), lo que sugiere un intento de aprovechar la notoriedad del grupo.
Los correos se originan desde cuentas comprometidas, algunas vinculadas anteriormente a la operación FIN11, un subgrupo de TA505 con historial en ransomware y ataques de extorsión desde 2020.
Aunque no se ha confirmado de manera independiente la relación directa con Cl0p, las tácticas empleadas guardan similitudes con campañas anteriores atribuidas a este actor.
Vectores de acceso
El mecanismo inicial aún no está plenamente confirmado. Sin embargo, reportes citados por Bloomberg indican que los atacantes habrían abusado de la función de restablecimiento de contraseñas en portales expuestos de Oracle E-Business Suite, utilizando credenciales obtenidas mediante la comprometida de cuentas de correo electrónico corporativo.
Contexto del grupo Cl0p
Cl0p es considerado uno de los grupos de ransomware más activos y prolíficos de los últimos años. Se le ha atribuido la explotación de vulnerabilidades zero-day en plataformas críticas como:
Accellion FTA
SolarWinds Serv-U FTP
Fortra GoAnywhere MFT
Progress MOVEit Transfer
Estas campañas han resultado en miles de organizaciones afectadas a nivel mundial, reforzando su reputación como uno de los actores más disruptivos en el ecosistema del ransomware.
Implicaciones para las organizaciones
Amenaza a entornos Oracle E-Business Suite: Empresas que utilicen este ERP deben considerar una revisión inmediata de accesos expuestos.
Uso de cuentas comprometidas: Incrementa la dificultad de filtrar correos maliciosos al provenir de direcciones legítimas.
Reutilización de tácticas conocidas: Refuerza la necesidad de controles continuos de detección y respuesta ante incidentes.
Recomendaciones estratégicas
Auditoría inmediata de Oracle E-Business Suite: Validar credenciales, accesos expuestos y revisar configuraciones de recuperación de contraseñas.
Refuerzo de autenticación multifactor (MFA): Especialmente en cuentas ejecutivas y sistemas críticos.
Monitoreo proactivo de correo electrónico: Identificar envíos masivos desde cuentas internas o anomalías en flujos de comunicación.
Inteligencia de amenazas aplicada: Correlacionar indicadores de compromiso con campañas atribuidas a Cl0p y FIN11.
Capacitación a personal directivo: Reforzar protocolos de reporte ante intentos de extorsión o recepción de correos sospechosos.
Conclusión
Aunque la investigación aún está en curso, la combinación de extorsión, abuso de credenciales y explotación de entornos Oracle refuerza la necesidad de un enfoque integral de seguridad. La posible conexión con Cl0p —grupo con historial probado en ataques globales— convierte a esta campaña en un riesgo significativo para cualquier organización con infraestructuras ERP expuestas a internet.
La recomendación inmediata es auditar accesos a Oracle E-Business Suite, implementar MFA y fortalecer capacidades de detección temprana para mitigar posibles intentos de intrusión o extorsión.
