Skip to content
hacker_posts

Conseil de l'Europe : ShinyHunters revendique 297 Go via Oracle PeopleSoft

ShinyHunters annonce avoir exfiltré 297 Go et 429 000 fichiers du Conseil de l'Europe via la zero-day Oracle PeopleSoft CVE-2026-35273. L'institution enquête, l'ultimatum du 16 juin est passé.

Publié le 6 min de lecture
fuiteshinyhuntersconseil-europeoracle-peoplesoftcve

Le Conseil de l'Europe — institution intergouvernementale basée à Strasbourg, distincte de l'Union européenne — confirme « enquêter et évaluer la situation » après que le collectif ShinyHunters a revendiqué le 14 juin 2026 sur son site .onion l'exfiltration de 297 Go de données représentant plus de 429 000 fichiers, attribués au Secrétariat, à la Direction des ressources humaines, à l'Assemblée parlementaire (APCE) et à l'EDQM. La revendication, détaillée par The Register et confirmée par BleepingComputer, s'appuie sur l'exploitation de la zero-day Oracle PeopleSoft CVE-2026-35273 déjà documentée par Mandiant — voir notre post du 12 juin sur la campagne UNC6240/ShinyHunters contre PeopleSoft. Le délai d'extorsion fixé par les attaquants au 16 juin est passé sans paiement ; aucune publication massive n'a encore eu lieu au moment de la rédaction.

Ce qui est revendiqué

Le décompte affiché sur le DLS de ShinyHunters, repris par cyberattaque.org et FrenchBreaches :

  • 297 Go de données téléchargées.
  • 429 000+ fichiers dont 409 000 fiches de paie couvrant plus de 10 000 employés du Conseil sur la période 2011–2026.
  • 14 000+ CV, contrats et bons de commande.
  • 3 700+ fiches RH internes, rapports d'absences, dossiers médicaux, évaluations de performance.
  • Coordonnées bancaires, numéros d'identification fiscale et de sécurité sociale des personnels.

Les périmètres revendiqués s'étendent au-delà du Secrétariat : EDQM (la direction qui édite la Pharmacopée européenne et certifie les laboratoires de référence dans plus de 40 pays), APCE, et plusieurs services administratifs.

Statut côté Conseil de l'Europe

L'institution a déclaré à The Register « enquêter sur l'affaire et évaluer la situation », sans confirmer ni démentir l'authenticité des fichiers ni la voie d'entrée. Aucune communication officielle n'a été publiée sur le site coe.int au 18 juin. La porte-parole renvoie aux investigations en cours.

À ce stade, l'enchaînement reste donc une revendication étayée par des extraits publiés sur le DLS, pas un incident confirmé par la victime. Compte tenu de la volumétrie annoncée — 297 Go, c'est cohérent avec un export de base PeopleSoft HCM complet — et du mode opératoire connu d'UNC6240, l'hypothèse d'une compromission réelle est l'hypothèse de travail à privilégier en attendant la confirmation officielle.

Le vecteur : la zero-day PeopleSoft de Mandiant

Selon le post SecurityWeek et TechRepublic, ShinyHunters revendique avoir exploité la même CVE-2026-35273 que Mandiant a attribuée au cluster UNC6240 dans son rapport du 10 juin. Caractéristiques de la faille, reprises de l'alerte hors-cycle d'Oracle :

  • RCE non authentifiée dans le composant PeopleSoft Enterprise PeopleTools Environment Management Hub (EMHub).
  • Versions PeopleTools 8.61 et 8.62 ciblées ; versions antérieures non supportées, vraisemblablement vulnérables sans correctif prévu.
  • Surface d'attaque : POST /PSEMHUB/hub et POST /PSIGW/HttpListeningConnector exposés via la PeopleSoft Internet Architecture.
  • CVSS 9.8, exploitation observée à partir du 27 mai 2026.

Le mode opératoire d'UNC6240 documenté par Mandiant — installation de MeshCentral pour la persistance, exfiltration en archives *.tar.zst, défaçage par un fichier README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT — correspond aux IOC à rechercher sur tout déploiement PeopleSoft suspecté.

Lecture entre les lignes

L'attribution formelle reste hedgée. Mandiant écrit que UNC6240 « chevauche » la marque ShinyHunters via l'infrastructure et la cadence de publication sur le DLS, sans assimiler les deux. La revendication actuelle s'inscrit dans cette ambiguïté : qu'on parle d'UNC6240 opérant la zero-day, d'un acheteur de l'accès revendant sous le pavillon ShinyHunters, ou d'un partnership entre les deux, la communauté n'a pas encore les éléments pour trancher. L'attribution sûre, à ce stade, est : « groupe ayant accès à un exploit fonctionnel de la CVE-2026-35273 et publiant sur le DLS ShinyHunters » — pas plus.

Que faire

  1. Si vous opérez une instance PeopleSoft 8.61 ou 8.62 exposée à internet : suivre les mesures d'atténuation publiées par Oracle (désactivation du service EMHub en Multi-Server, suppression de l'application PSEMHUB en Single-Server, ou blocage périmétrique de /PSEMHUB/* et /PSIGW/HttpListeningConnector). Le correctif lui-même est disponible via My Oracle Support sous le Patch Availability Document de l'alerte.
  2. Investiguer rétroactivement à partir du 27 mai 2026. Rechercher dans les logs PIA / WebLogic les POST /PSEMHUB/hub et POST /PSIGW/HttpListeningConnector issus de l'extérieur, ainsi que les artefacts SSRF (127.0.0.1, ::1 dans les en-têtes). Tout hit antérieur à la mise en œuvre de l'atténuation doit être traité comme compromission.
  3. Pousser les IOC Mandiant en EDR et DNS : adresses 142.11.200.186-190, domaine azurenetfiles.net, hashes des binaires meshagent64-azure-ops.exe et meshagent64-v2.exe. Liste complète dans le post Google Cloud du 10 juin.
  4. Personnels du Conseil de l'Europe ou agents d'organismes RH partagés avec l'institution : surveiller hameçonnage ciblé sur les adresses @coe.int, tentatives d'usurpation auprès des organismes bancaires associés aux IBAN potentiellement exposés, et toute réutilisation des numéros nationaux d'identification dans des demandes de crédit ou des ouvertures de comptes en ligne. Activer si possible un blocage Banque de France type Aviso ou son équivalent national.
  5. Organisations utilisatrices de la Pharmacopée européenne et de l'EDQM : ces données incluraient des fichiers RH du personnel de certification ; le risque immédiat est l'ingénierie sociale ciblant les flux de certification CEP/PA-PH. Vérifier l'authenticité par canal hors-bande pour toute demande inhabituelle sur les dossiers en cours.

Contexte

C'est la deuxième institution européenne majeure revendiquée par ShinyHunters depuis le printemps : la Commission européenne avait déjà été visée par une revendication portant sur 350 Go d'environnement Salesforce en mai. Côté higher-ed, la University of Nottingham a confirmé sa compromission via PeopleSoft dans le même lot Mandiant, et Have I Been Pwned a indexé environ 455 000 adresses uniques tirées des archives ShinyHunters — chiffres détaillés dans notre post EN sur CVE-2026-35273.

Le motif est clair : la même zero-day PeopleSoft alimente une vague d'extorsions à composante diplomatique et académique. Les institutions intergouvernementales sont des cibles à fort rendement médiatique — données personnelles sensibles, couverture presse garantie, levier de pression maximal sur la victime — et leur surface PeopleSoft est, par construction, internet-facing pour les besoins de mobilité internationale des personnels. Tant que les déploiements 8.61/8.62 non patchés restent accessibles, le pattern continuera.

L'autre lecture, plus inquiétante côté défense : un délai d'ultimatum dépassé sans paiement signifie en pratique que la publication des 297 Go est techniquement imminente. Les administrations RH et les services bancaires des 46 pays membres devraient anticiper, dans les jours qui viennent, un afflux d'extraits exploitables pour des fraudes ciblées sur les personnels du Conseil et leurs ayants droit listés dans la base.

Articles liés