قالت مجموعة استخبارات التهديدات لدى جوجل (GTIG) وشركة Mandiant في تقرير جديد نشر يوم الخميس إن عشرات المؤسسات قد تكون تضررت جراء استغلال ثغرة يوم-الصفر في حزمة أوراكل للأعمال (Oracle E-Business Suite ــ EBS) منذ 9 أغسطس 2025.
وقال جون هولتكويست، كبير محللي GTIG في جوجل كلاود، في بيانٍ نُقل إلى The Hacker News: «ما زلنا نقيّم نطاق الحادث، لكننا نعتقد أنه أثر على عشرات المؤسسات. بعض حملات ابتزاز بيانات سابقة تُنسب إلى مجموعة Cl0p شهدت مئات الضحايا. للأسف، أصبحت حملات استغلال ثغرات يوم-الصفر واسعة النطاق مثل هذه سمة شبه اعتيادية في الجريمة الإلكترونية».
أوضحت جوجل أن النشاط، الذي يحوي سمات تتماشى جزئياً مع مجموعة فدية تُعرف باسم Cl0p، استند إلى تجميع عدة ثغرات متميزة، بما في ذلك ثغرة يوم-الصفر المرقمة CVE-2025-61882 (درجة CVSS: 9.8)، لاقتحام شبكات المستهدفين وسرقة بيانات حساسة. وأضافت أنها وجدت دلائل على نشاط مشبوه إضافي يعود إلى 10 يوليو 2025، لكن مدى نجاح تلك المحاولات لا يزال غير واضح. وأصدرت أوراكل لاحقاً تحديثات لإصلاح هذه الثغرة.
تُنسب مجموعة Cl0p (المعروفة أيضاً بـ Graceful Spider) والتي تنشط منذ 2020، إلى استغلال جماعي لعدة ثغرات يوم-الصفر في منتجات سابقة مثل Accellion FTA، وGoAnywhere MFT، وProgress MOVEit MFT، وCleo LexiCom. بينما كانت هجمات التصيّد المرتبطة بمجموعة FIN11 مُمهِّدًا سابقًا لنشر فدية Cl0p في حوادث سابقة، أشارت جوجل إلى علامات تُشير إلى أن دورة برامج التشفير هنا قد تكون على يد فاعل مختلف.
بدأت موجة الهجمات الحالية فعلياً في 29 سبتمبر 2025، عندما أطلق المهاجمون حملة بريد إلكتروني بكثافة استهدفت مسؤولين تنفيذيين في شركات، مستخدمين مئات حسابات طرف ثالث مخترقة من منظمات غير مرتبطة. وتقول التقارير إن بيانات اعتماد هذه الحسابات شُريت في المنتديات المظلمة، على الأرجح عبر سجلات برمجيات سرقة المعلومات (infostealers).
زعم مرسلو الرسائل الإلكترونية أنهم اخترقوا تطبيق Oracle EBS وسرقوا بيانات حساسة، مطالبين بدفع فدية مجهولة المبلغ مقابل عدم تسريب المعلومات. وحتى الآن لم تُدرج أي من الضحايا في موقع تسريبات بيانات Cl0p — وهو سلوك يتماشى مع حملات Cl0p السابقة التي تنتظر عادةً بضعة أسابيع قبل نشر الضحايا.
استخدمت الهجمات مزيجاً من تقنيات مثل تزوير طلبات الخادم (SSRF)، وحقن CRLF، وتجاوز المصادقة، وحقن قوالب XSL لتحقيق تنفيذ كود عن بعد على خادم Oracle EBS المستهدف وإعداد قشرة عكسية (reverse shell).
في حوالي أغسطس 2025، رصدت جوجل فاعلاً استغلالياً يستهدف مكوّن "/OA_HTML/SyncServlet" لتحقيق تنفيذ كود عن بعد ثم تشغيل حمولة XSL عبر وظيفة معاينة القوالب (Template Preview). وُجدت سلسلتان مختلفتان من أحمال Java مدمجة داخل حمولات XSL:
- GOLDVEIN.JAVA: نسخة Java من برنامج تنزيل اسمه GOLDVEIN (برمجية PowerShell رُصدت لأول مرة في ديسمبر 2024 مرتبطة بحملة استغلال لمنتجات Cleo) قادرة على استلام مرحلة ثانية من خادم قيادة وسيطرة (C2).
- SAGEGIFT: محمّل مُرمّز بـ Base64 صُمم خصيصاً لخوادم Oracle WebLogic ويُستخدم لإطلاق SAGELEAF، وهو "دروبر" يعمل في الذاكرة يُستعمل بعد ذلك لتثبيت SAGEWAVE، فلتر جافا خبيث يسمح بتثبيت أرشيف ZIP مُشفّر يحتوي على مرحلة تالية غير معروفة. (مع أن الحمولة الرئيسية تشترك ببعض العناصر مع وحدة cli الموجودة في باب خلفي يُشتبه بأنه تابع لحملة FIN11 تُسمى GOLDTOMB.)
كما لوحظ تنفيذ المهاجم لأوامر استطلاعية متعددة من حساب EBS المسمى "applmgr"، وتشغيل أوامر من عملية bash مُطلقة بواسطة عملية Java التي تُشغّل GOLDVEIN.JAVA.
من المثير للاهتمام أن بعض الآثار التي رُصدت في يوليو 2025 ضمن جهود الاستجابة للحادث تتقاطع مع استغلال سُرب في مجموعة تلغرام اسمها Scattered LAPSUS$ Hunters في 3 أكتوبر 2025. ومع ذلك، قالت جوجل إنها لا تمتلك أدلة كافية تربط مجموعة الجريمة الإلكترونية تلك بهذه الحملة.
وأشار تقرير GTIG إلى أن مستوى الاستثمار في الحملة يوحي بأن الفاعلين المسؤولين عن الاختراق الأولي كرسوا موارد كبيرة لأبحاث ما قبل الهجوم.
ورغم أن العملاق التقني (جوجل) لم يربط الحملة رسمياً بمجموعة تهديد معروفة، فقد لفت الانتباه إلى استخدام علامة Cl0p ووجود ارتباطات محتملة. كما لاحظ تداخل أدوات ما بعد الاستغلال مع برمجيات خبيثة (مثل GOLDVEIN وGOLDTOMB) استُخدمت في حملة مشتبه بأنها لـ FIN11، وأن أحد الحسابات المخترقة التي استُخدمت لإرسال رسائل الابتزاز قد استُخدمت سابقاً من قبل FIN11.
وخلص التقرير إلى أن «نمط استغلال ثغرة يوم-الصفر في تطبيق مؤسسي واسع الانتشار، يتبعه بعد أسابيع حملة ابتزاز واسعة النطاق تحمل علامة تجارية، هو سمة تاريخياً نُسبت إلى FIN11، وله منافع استراتيجية قد تجذب أيضاً فاعلين تهديد آخرين».
وأضاف التقرير أن «استهداف التطبيقات والأجهزة المتاحة للعامة والتي تخزن بيانات حساسة يزيد على الأرجح من كفاءة عمليات سرقة البيانات، إذ لا يحتاج المهاجمون لقضاء وقت وموارد على التحرك الجانبي داخل الشبكة».