O Google Mandiant e o Google Threat Intelligence Group (GTIG) anunciaram que estão monitorando uma nova onda de atividades cibernéticas ligadas ao grupo hacker Cl0p, conhecido por ataques de ransomware e extorsão em escala global. A campanha envolve o envio de e-mails fraudulentos direcionados a executivos, alegando o roubo de dados sensíveis do Oracle E-Business Suite.
Segundo Genevieve Stark, chefe de análise da GTIG, a campanha começou em 29 de setembro de 2025 e ainda está sob investigação. As mensagens não têm foco em setores específicos, característica que reforça o modus operandi do Cl0p e do site de vazamento de dados (DLS) mantido pelo grupo.
Conexão com FIN11 e Cl0p
Charles Carmakal, CTO da Mandiant, descreveu a ofensiva como uma “campanha de e-mails de alto volume” originada de centenas de contas comprometidas. Evidências apontam que pelo menos uma delas já havia sido usada pelo FIN11, um subconjunto do grupo TA505, ativo em ataques de ransomware desde 2020 e responsável por disseminar malwares como FlawedAmmyy, FRIENDSPEAK e MIXLABEL.
O elo com o Cl0p se fortalece pelo uso de endereços de contato listados publicamente no site de vazamentos do grupo, sugerindo que os criminosos estão explorando a reputação da marca para legitimar a ameaça. Apesar disso, o Google afirma que ainda não há provas conclusivas da ligação direta.
Possível vetor de ataque
De acordo com informações da Bloomberg, com base em análises da Halcyon, os invasores podem ter comprometido contas de e-mail corporativas, explorando a função de redefinição de senha para acessar portais do Oracle E-Business Suite expostos à internet.
A Oracle confirmou que alguns clientes receberam mensagens de extorsão e que as tentativas de ataque podem estar relacionadas a vulnerabilidades já corrigidas na Atualização Crítica de Patch (CPU) de julho de 2025.
“Recomendamos fortemente que todos os clientes apliquem o patch mais recente para evitar riscos de exploração”, afirmou Rob Duhart, diretor de segurança da Oracle.
Histórico de ataques do Cl0p
O grupo Cl0p ganhou notoriedade ao explorar falhas de dia zero em plataformas amplamente utilizadas, como Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT e Progress MOVEit Transfer, afetando milhares de empresas em todo o mundo.
Especialistas reforçam que, mesmo sem confirmação definitiva da autoria, a campanha atual segue o padrão de extorsão digital em larga escala que consolidou o Cl0p como um dos atores mais prolíficos do cibercrime internacional.
