El grupo de ransomware ShinyHunters explotó durante más de dos semanas una vulnerabilidad zero-day en el software Oracle PeopleSoft, identificada como CVE-2026-35273, antes de que Oracle la notificara oficialmente. La falla, de tipo SSRF (falsificación de solicitud del lado del servidor), tiene una puntuación de gravedad de 9,8 sobre 10 y permite a los atacantes enviar solicitudes desde el servidor afectado a sistemas internos de la organización víctima. Oracle la considera explotable de forma remota y, por el momento, solo ha publicado una mitigación provisional, sin un parche completo.
Según el equipo de seguridad Mandiant de Google, los atacantes aprovecharon la vulnerabilidad desde el 27 de mayo y, hasta el miércoles, habían atacado alrededor de 300 endpoints pertenecientes a 100 organizaciones usuarias. Aproximadamente el 68% de las víctimas pertenecen al sector de educación superior. La Universidad de Nottingham confirmó haber sido una de las organizaciones afectadas por un incidente que expuso una cantidad "significativa" de datos de estudiantes, después de que ShinyHunters reclamara la autoría y publicara gigabytes de información supuestamente sustraída. Google confirmó que las víctimas están recibiendo demandas de extorsión y que al menos una organización ha pagado para evitar la filtración de los datos robados.