Google Threat Intelligence Group (GTIG) và Mandiant cho biết trong một báo cáo mới được công bố hôm thứ Năm rằng hàng chục tổ chức có thể đã bị ảnh hưởng sau khi lỗ hổng bảo mật zero-day trong phần mềm E-Business Suite (EBS) của Oracle bị khai thác kể từ ngày 9 tháng 8 năm 2025 .

"Chúng tôi vẫn đang đánh giá phạm vi của sự cố này , nhưng chúng tôi tin rằng nó đã ảnh hưởng đến hàng chục tổ chức", John Hultquist, nhà phân tích trưởng của GTIG tại Google Cloud, cho biết trong một tuyên bố chia sẻ với The Hacker News. "Một số chiến dịch tống tiền dữ liệu Cl0p trước đây đã có hàng trăm nạn nhân. Thật không may, các chiến dịch zero-day quy mô lớn như thế này đang trở thành một đặc điểm thường thấy của tội phạm mạng."

Hoạt động này, mang một số dấu hiệu liên quan đến nhóm ransomware Cl0p, được đánh giá là đã tạo ra nhiều lỗ hổng bảo mật riêng biệt, bao gồm lỗ hổng zero-day được theo dõi là CVE-2025-61882 (điểm CVSS: 9,8), nhằm xâm nhập vào các mạng mục tiêu và đánh cắp dữ liệu nhạy cảm. Google cho biết họ đã tìm thấy bằng chứng về các hoạt động đáng ngờ khác có từ ngày 10 tháng 7 năm 2025, mặc dù mức độ thành công của những nỗ lực này vẫn chưa được biết rõ . Oracle sau đó đã phát hành các bản vá để khắc phục thiếu sót này.

Cl0p (hay còn gọi là Graceful Spider), hoạt động từ năm 2020, được cho là thủ phạm khai thác hàng loạt lỗ hổng zero-day trong các thiết bị truyền tệp cũ Accellion (FTA), GoAnywhere MFT, Progress MOVEit MFT và Cleo LexiCom trong nhiều năm qua. Mặc dù các chiến dịch email lừa đảo do nhóm FIN11 thực hiện trước đây từng là tiền thân của ransomware Cl0p, Google cho biết họ đã tìm thấy dấu hiệu cho thấy phần mềm độc hại mã hóa tệp này là một tác nhân khác.

Làn sóng tấn công mới nhất bắt đầu vào ngày 29 tháng 9 năm 2025, khi các tác nhân đe dọa khởi động một chiến dịch email quy mô lớn nhắm vào các giám đốc điều hành công ty từ hàng trăm tài khoản bên thứ ba bị xâm phạm thuộc các tổ chức không liên quan. Thông tin đăng nhập của các tài khoản này được cho là đã được mua trên các diễn đàn ngầm, có thể là thông qua việc mua nhật ký phần mềm độc hại đánh cắp thông tin.

Các email này tuyên bố kẻ tấn công đã xâm nhập ứng dụng Oracle EBS của họ và đánh cắp dữ liệu nhạy cảm, yêu cầu họ trả một khoản tiền chuộc không xác định để đổi lấy việc không tiết lộ thông tin bị đánh cắp. Cho đến nay, chưa có nạn nhân nào của chiến dịch này được liệt kê trên trang web rò rỉ dữ liệu Cl0p - một hành vi tương tự với các cuộc tấn công Cl0p trước đây, khi kẻ tấn công đã chờ đợi vài tuần trước khi công khai thông tin.

Bản thân các cuộc tấn công này tận dụng sự kết hợp của Server-Side Request Forgery (SSRF), tấn công chèn dòng trả về (CRLF), bỏ qua xác thực và chèn mẫu XSL để thực thi mã từ xa trên máy chủ Oracle EBS mục tiêu và thiết lập một shell ngược.

Vào khoảng tháng 8 năm 2025, Google cho biết họ đã phát hiện một tác nhân đe dọa khai thác lỗ hổng trong thành phần "/OA_HTML/SyncServlet" để thực thi mã từ xa và cuối cùng kích hoạt một payload XSL thông qua chức năng Xem trước Mẫu. Hai chuỗi payload Java khác nhau đã được tìm thấy nhúng trong payload XSL -

• GOLDVEIN.JAVA, một biến thể Java của trình tải xuống có tên là GOLDVEIN (phần mềm độc hại PowerShell được phát hiện lần đầu vào tháng 12 năm 2024 liên quan đến chiến dịch khai thác nhiều sản phẩm phần mềm Cleo) có thể nhận tải trọng giai đoạn thứ hai từ máy chủ chỉ huy và kiểm soát (C2).
• Một trình tải được mã hóa Base64 có tên SAGEGIFT được thiết kế riêng cho máy chủ Oracle WebLogic, được sử dụng để khởi chạy SAGELEAF, một trình thả mã độc trong bộ nhớ, sau đó được sử dụng để cài đặt SAGEWAVE, một bộ lọc servlet Java độc hại cho phép cài đặt một tệp ZIP được mã hóa chứa phần mềm độc hại giai đoạn tiếp theo chưa xác định. (Tuy nhiên, tải trọng chính có một số điểm trùng lặp với một mô-đun dòng lệnh (cli) có trong backdoor FIN11 được gọi là GOLDTOMB.)

Kẻ tấn công cũng được quan sát thấy đang thực hiện nhiều lệnh trinh sát khác nhau từ tài khoản EBS "applmgr", cũng như chạy các lệnh từ một tiến trình bash được khởi chạy từ một tiến trình Java chạy GOLDVEIN.JAVA.

Điều thú vị là một số hiện vật được quan sát vào tháng 7 năm 2025 như một phần của nỗ lực ứng phó sự cố lại trùng lặp với một lỗ hổng bị rò rỉ trong nhóm Telegram có tên Scattered LAPSUS$ Hunters vào ngày 3 tháng 10 năm 2025. Tuy nhiên, Google cho biết họ không có đủ bằng chứng để cho thấy bất kỳ sự liên quan nào của nhóm tội phạm mạng trong chiến dịch này.

GTIG chỉ ra rằng mức độ đầu tư vào chiến dịch cho thấy những kẻ đe dọa chịu trách nhiệm cho cuộc xâm nhập ban đầu có thể đã dành nhiều nguồn lực đáng kể cho hoạt động nghiên cứu trước khi tấn công.

Gã khổng lồ công nghệ cho biết họ không chính thức quy kết vụ tấn công này cho một nhóm tin tặc đã bị theo dõi, mặc dù họ chỉ ra việc sử dụng thương hiệu Cl0p là đáng chú ý. Tuy nhiên, họ tin rằng nhóm tin tặc này có liên quan đến Cl0p. Họ cũng lưu ý rằng các công cụ sau khi khai thác có sự trùng lặp với phần mềm độc hại (ví dụ: GOLDVEIN và GOLDTOMB) được sử dụng trong một chiến dịch FIN11 bị nghi ngờ trước đó, và một trong những tài khoản bị xâm nhập được sử dụng để gửi email tống tiền gần đây đã từng được FIN11 sử dụng.

Báo cáo cho biết: "Mô hình khai thác lỗ hổng zero-day trong một ứng dụng doanh nghiệp được sử dụng rộng rãi, tiếp theo là một chiến dịch tống tiền quy mô lớn được thực hiện vài tuần sau đó, là dấu hiệu đặc trưng của hoạt động trước đây được cho là của FIN11, mang lại lợi ích chiến lược mà cũng có thể thu hút các tác nhân đe dọa khác".

"Việc nhắm mục tiêu vào các ứng dụng và thiết bị công cộng lưu trữ dữ liệu nhạy cảm có thể làm tăng hiệu quả của các hoạt động đánh cắp dữ liệu, vì kẻ tấn công không cần phải dành thời gian và nguồn lực cho hoạt động di chuyển ngang."