Hacker ShinyHunters Serang PeopleSoft, Ratusan Ribu Data Bocor

Gelombang serangan siber kembali mengguncang dunia pendidikan. Kali ini, kelompok peretas dan pemeras data terkenal ShinyHunters dilaporkan berhasil memanfaatkan celah keamanan kritis pada sistem Oracle PeopleSoft untuk menyusup ke jaringan berbagai organisasi, mencuri data sensitif, dan mengancam akan mempublikasikannya jika korban tidak membayar tebusan.

Temuan ini diungkap oleh tim keamanan siber Google Mandiant yang melacak aktivitas kelompok peretas tersebut dengan kode UNC6240. Berdasarkan hasil investigasi, serangan berlangsung sejak 27 Mei hingga 9 Juni 2026, sebelum Oracle secara resmi mengumumkan adanya kerentanan pada 10 Juni 2026.

Kondisi tersebut membuat celah keamanan yang digunakan pelaku berstatus zero-day, yakni kerentanan yang belum diketahui publik maupun vendor saat serangan berlangsung. Situasi seperti ini sangat berbahaya karena organisasi yang menjadi target tidak memiliki kesempatan untuk melakukan perlindungan atau pembaruan sistem sebelum eksploitasi terjadi.

Celah Kritis dengan Tingkat Keparahan Tinggi

Kerentanan yang dimanfaatkan oleh ShinyHunters tercatat sebagai CVE-2026-35273. Celah ini ditemukan pada PeopleSoft Enterprise PeopleTools, platform yang banyak digunakan organisasi besar untuk mengelola sumber daya manusia, keuangan, dan berbagai proses bisnis penting lainnya.

Oracle memberikan skor keparahan 9,8 dari 10 untuk kerentanan tersebut, menjadikannya salah satu ancaman paling serius yang pernah ditemukan pada platform tersebut.

Yang membuat celah ini sangat berbahaya adalah kemampuannya untuk memungkinkan Remote Code Execution (RCE). Dengan kata lain, pelaku dapat menjalankan perintah berbahaya dari jarak jauh dan mengambil alih server tanpa perlu memiliki akun pengguna maupun melakukan interaksi dengan korban.

Penyerang hanya membutuhkan akses jaringan melalui protokol HTTP untuk mengeksploitasi sistem yang rentan. Sistem PeopleSoft yang memiliki layanan Environment Management Hub (PSEMHUB) dan dapat diakses dari internet menjadi target utama dalam serangan ini.

Oracle mengonfirmasi bahwa PeopleTools versi 8.61 dan 8.62 terdampak oleh kerentanan tersebut. Sementara itu, versi yang lebih lama dan sudah tidak lagi mendapatkan dukungan teknis juga diduga memiliki risiko yang sama.

Jejak Operasi Peretas Terbongkar

Menariknya, sebagian detail operasi ShinyHunters justru terungkap akibat kesalahan yang dilakukan para peretas sendiri.

Peneliti keamanan siber dengan akun @nahamike01 menemukan sejumlah direktori publik yang tidak sengaja dibiarkan terbuka oleh pelaku. Temuan tersebut kemudian dianalisis lebih lanjut oleh Mandiant.

Dalam investigasi tersebut, ditemukan lima alamat IP berurutan yang menjalankan Python SimpleHTTP Server pada port 8888. Server-server tersebut ternyata menyimpan berbagai alat dan file yang digunakan dalam operasi serangan.

Di antaranya adalah file riwayat perintah Linux (.bash_history), agen manajemen jarak jauh MeshCentral yang disamarkan sebagai komponen Microsoft Azure, serta skrip khusus yang digunakan untuk menyebarkan serangan ke sistem lain dalam jaringan korban.

Mandiant juga menemukan bahwa para pelaku menggunakan domain azurenetfiles.net sebagai server command and control (C2). Nama domain tersebut sengaja dibuat menyerupai layanan Azure NetApp Files milik Microsoft untuk menghindari kecurigaan.

Menyebar ke Seluruh Jaringan Korban

Setelah berhasil masuk ke server awal, pelaku menggunakan skrip bernama [victim]_fanout.sh untuk memperluas akses ke sistem lain di dalam jaringan.

Skrip tersebut bekerja dengan mencoba berbagai kombinasi nama pengguna dan kata sandi yang telah disiapkan sebelumnya melalui koneksi SSH. Targetnya adalah perangkat dan server internal yang terdaftar dalam file konfigurasi /etc/hosts.

Jika berhasil memperoleh akses, skrip akan menanamkan file penanda bertuliskan "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT" pada direktori PeopleSoft korban sebagai bukti bahwa sistem telah diretas.

Selain itu, investigasi juga menunjukkan bahwa data yang dicuri dikompresi menggunakan utilitas zstd sebelum dikirim ke server eksternal yang terhubung dengan situs kebocoran data milik ShinyHunters.

Sektor Pendidikan Menjadi Korban Terbesar

Mandiant mengungkapkan telah menghubungi lebih dari 100 organisasi yang teridentifikasi memiliki sistem rentan terhadap eksploitasi ini.

Sebanyak 68 persen di antaranya berasal dari sektor pendidikan tinggi, dengan mayoritas berlokasi di Amerika Serikat. Beberapa institusi berhasil mendeteksi dan memblokir upaya serangan sebelum terjadi kerusakan lebih lanjut. Namun, sebagian lainnya tidak seberuntung itu.

Sejumlah organisasi dilaporkan berhasil ditembus dan data mereka telah dipublikasikan di situs kebocoran milik ShinyHunters sebagai bagian dari upaya pemerasan.

University of Nottingham Jadi Korban yang Terkonfirmasi

Salah satu korban yang telah mengonfirmasi insiden tersebut adalah University of Nottingham di Inggris. Menurut layanan pemantauan kebocoran data Have I Been Pwned, sekitar 455.000 alamat email unik ditemukan dalam kumpulan data yang bocor.

Data yang terekspos mencakup informasi pribadi dalam jumlah besar, termasuk nama lengkap, alamat rumah, nomor telepon, nomor paspor, data mahasiswa aktif maupun alumni, serta informasi sensitif terkait etnis dan kondisi disabilitas.

Kebocoran data dalam skala besar seperti ini berpotensi menimbulkan berbagai risiko lanjutan, mulai dari pencurian identitas, penipuan digital, hingga serangan rekayasa sosial yang lebih terarah terhadap para korban.

Oracle Minta Administrator Segera Lakukan Mitigasi

Meskipun patch keamanan masih dalam proses distribusi kepada pelanggan, Oracle telah mengeluarkan sejumlah rekomendasi mitigasi untuk mengurangi risiko eksploitasi.

Perusahaan menyarankan administrator sistem untuk menonaktifkan layanan Environment Management Hub pada instalasi multi-server. Untuk instalasi single-server, Oracle merekomendasikan penghapusan aplikasi PSEMHUB apabila memungkinkan.

Jika langkah tersebut tidak dapat dilakukan, organisasi diminta segera memblokir akses eksternal ke endpoint kritis seperti /PSEMHUB/*, /PSEMHUB/hub, dan /PSIGW/HttpListeningConnector.

Sementara itu, Mandiant memperingatkan bahwa penggunaan Web Application Firewall (WAF) saja tidak cukup untuk menghentikan serangan karena teknik eksploitasi yang digunakan masih dapat melewati sejumlah mekanisme inspeksi lalu lintas web.

Para administrator juga diminta memeriksa tanda-tanda kompromi, termasuk adanya file .jsp mencurigakan, perubahan tidak wajar pada file XML, kemunculan folder asing dalam direktori PeopleSoft, serta aktivitas jaringan keluar yang tidak biasa melalui port 445.

Tanda Perubahan Strategi ShinyHunters

Kasus ini menunjukkan perkembangan signifikan dalam kemampuan teknis ShinyHunters. Selama beberapa tahun terakhir, kelompok tersebut lebih dikenal karena memanfaatkan teknik vishing, pencurian token autentikasi, dan kelemahan kontrol akses pada layanan berbasis cloud.

Namun kali ini mereka berhasil mengeksploitasi kerentanan zero-day pada perangkat lunak ERP yang diinstal langsung di lingkungan organisasi. Langkah tersebut menandakan peningkatan kemampuan operasional sekaligus perubahan strategi dalam memilih target bernilai tinggi yang menyimpan data dalam jumlah besar.

Hingga kini masih belum diketahui apakah eksploitasi terhadap Oracle PeopleSoft merupakan operasi satu kali yang memanfaatkan celah dari pihak lain, atau menjadi awal dari kampanye baru ShinyHunters yang secara khusus menargetkan sistem ERP milik perusahaan dan universitas di seluruh dunia.

Yang jelas, insiden ini kembali menjadi pengingat bahwa kerentanan yang belum ditambal dapat berubah menjadi bencana besar dalam hitungan hari, terutama ketika dimanfaatkan oleh kelompok peretas yang memiliki sumber daya dan kemampuan tinggi.