Mandiant сообщил, что злоумышленники из группы ShinyHunters провели разведку скомпрометированных организаций, изучив конфигурации PeopleSoft, планировщик процессов и XML‑файлы WebLogic, после чего установили исходящее SSH‑соединение с IP‑адресом 176.120.22.24, где размещён их сайт утечки данных (DLS). Украденные файлы были сжаты с помощью zstd; DLS восстановил 48 ГБ данных от одной жертвы. ShinyHunters, действующая с 2019 года, уже взламывала крупные компании, включая Ticketmaster, Santander и Salesforce, используя ошибки конфигурации, уязвимости ПО, кражу OAuth‑токенов и социальную инженерию. Mandiant и Rapid7 предоставили индикаторы компрометации и рекомендации по защите PeopleSoft.
