Google destapa una red de ‘hackers’ que extorsionan directivos con datos robados a Oracle

Google ha destapado este jueves una red de hackers que extorsionaban a directivos de empresas con datos robados de los servidores de Oracle, según un comunicado lanzado por la tecnológica americana. Los ciberatacantes aprovecharon «varias vulnerabilidades» para «obtener ejecución remota de código sin autenticación y robar grandes cantidades de datos de clientes». Los cálculos de la compañía de EEUU sugieren que todo esto comenzó el pasado 10 de julio sin que nadie se diera cuenta.

Además, los atacantes emplean malware sofisticado, multietapa y sin archivos, identificado como GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF y SAGEWAVE. Su objetivo es el de eludir los sistemas de detección basados en archivos, un detalle nuevo y especialmente relevante.

Para los especialistas, el nivel de recursos invertidos en esta intrusión inicial indica que los responsables dedicaron esfuerzos considerables a la investigación y preparación previas al ataque.

Los hackers destapados por Google

«El actor comenzó a enviar un gran volumen de correos electrónicos a ejecutivos de numerosas organizaciones, alegando el robo de datos confidenciales de los entornos Oracle E-Business Suite (EBS) de las víctimas», define Google a los hackers responsables.

En julio, Oracle recomendó a sus clientes que actualizaran sus programas para poder disponer de nuevos parches. En octubre, esta empresa pidió con más severidad a los usuarios que hicieran uso de «parches de emergencia» con el objetivo de «abordar esta vulnerabilidad».

En aquel momento, también les solicitó que llevaran a cabo continuas actualizaciones para mantener «parches críticos». Sin embargo, todas estas recomendaciones no fueron capaces de evitar los ataques y el robo de datos de los usuarios de Oracle.

«Nuestro análisis indica que la campaña de extorsión CL0P se produjo tras meses de intrusión dirigida a entornos de clientes de EBS. El o los actores de amenazas explotaron lo que podría ser CVE-2025-61882 como una vulnerabilidad de día cero contra clientes de Oracle EBS el 9 de agosto de 2025, semanas antes de que se dispusiera de un parche, con actividad sospechosa adicional que se remonta al 10 de julio de 2025», ha explicado Google.

«En algunos casos, el actor de amenazas logró exfiltrar una cantidad significativa de datos de las organizaciones afectadas», ha continuado la tecnológica. Todo eso resultó en extorsiones a múltiples víctimas: «A partir del 29 de septiembre de 2025, el actor de amenazas lanzó una campaña masiva de correos electrónicos desde cientos, si no miles, de cuentas de terceros comprometidas».

Las credenciales de estas cuentas, pertenecientes a organizaciones diversas y no relacionadas, «probablemente provenían de registros de malware de robo de información vendidos en foros clandestinos», según Google. La tecnológica considera que «esta es una táctica común que utilizan los actores de amenazas para legitimarse y eludir los filtros de spam».

«Los correos electrónicos, enviados a ejecutivos de la empresa, afirmaban que el actor había vulnerado su aplicación Oracle EBS y exfiltrado documentos», ha afirmado. Estos e-mails «de extorsión indican que las presuntas víctimas pueden impedir la divulgación de los datos robados a cambio de un pago, pero no se especifica la cantidad ni el método».

Para la tecnológica americana, esto «es típico de la mayoría de las operaciones de extorsión modernas, en las que la exigencia suele presentarse después de que la víctima contacte con los actores de amenazas e indique que están autorizados a negociar».