Google Threat Intelligence Group (GTIG) et Mandiant viennent de publier une nouvelle analyse concernant une campagne d’extorsion active et étendue associée à la marque CL0P, ciblant Oracle E-Business Suite (EBS).
Tribune – Selon GTIG, les acteurs ont réussi à enchaîner plusieurs vulnérabilités distinctes — dont une faille zero-day vraisemblablement identifiée comme CVE-2025-61882 — afin d’obtenir une exécution de code à distance non authentifiée (RCE) et dérober d’importants volumes de données clients. L’activité d’exploitation initiale pourrait remonter au 10 juillet 2025, soit près de trois mois avant toute détection publique.
La campagne consiste à enchaîner plusieurs vulnérabilités distinctes (jusqu’à cinq selon certaines analyses externes), dont une faille zero-day (probablement CVE-2025-61882), afin de voler massivement des données clients via une exécution de code à distance non authentifiée (RCE). De plus, la campagne utilise des malwares sophistiqués, multi-étapes et sans fichiers — notamment GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF et SAGEWAVE — afin d’échapper aux solutions de détection basées sur les fichiers, un détail crucial.
Selon les experts de GTIG, ce niveau d’investissement suggère que les acteurs responsables de l’intrusion initiale ont probablement consacré des ressources significatives à la recherche préalable à l’attaque.
John Hultquist, analyste en chef du Google Threat Intelligence Group, précise l’ampleur potentielle de cette opération :
“ Nous sommes encore en train d’évaluer l’ampleur de cet incident, mais nous pensons qu’il a affecté des dizaines d’organisations. Certaines campagnes d’extorsion historiques du groupe CL0P ont visé des centaines de victimes. Malheureusement, les campagnes zero-day à grande échelle deviennent une caractéristique récurrente du cybercrime.”
