Ransomware Cl0p Explota Vulnerabilidad Día Cero en Oracle EBS

¿Qué ocurrió?

Se ha identificado una campaña de ataques en la que el grupo Cl0p (también conocido en algunos círculos como Graceful Spider) está explotando una vulnerabilidad de tipo día cero (zero-day) en el software Oracle E-Business Suite (EBS) para comprometer redes de empresas.

Según análisis de Google Threat Intelligence Group (GTIG) y Mandiant, el vector de ataque combina múltiples técnicas (SSR F, inyección CRLF, omisión de autenticación, inyección de plantillas XSL) para obtener ejecución remota de código y desplegar cargas maliciosas.

El defecto ha sido catalogado como CVE-2025-61882, con una puntuación CVSS de 9,8 — lo que indica una vulnerabilidad crítica.

Los atacantes aprovecharon el endpoint /OA_HTML/SyncServlet del módulo EBS para inyectar plantillas XSL maliciosas que desencadenan ejecución de código remoto.

Se han visto dos cargas útiles Java incrustadas dentro de las plantillas XSL:

GOLDVEIN.JAVA — una variante de descargador que puede buscar y activar una segunda fase desde un servidor de comando y control (C2).

SAGEGIFT / SAGELEAF / SAGEWAVE — un esquema complejo: SAGEGIFT como cargador codificado en Base64, que despliega SAGELEAF (dropper en memoria) para luego instalar SAGEWAVE, un filtro servlet malicioso que carga un archivo ZIP cifrado con malware adicional desconocido.

Las acciones post explotación incluyen exploración desde la cuenta applmgr, ejecución de comandos bash desde procesos Java, y movimientos laterales internos.

La campaña de extorsión via correo masivo comenzó el 29 de septiembre de 2025, con correos dirigidos a ejecutivos, alegando que sus sistemas Oracle EBS habían sido vulnerados y que los datos serían filtrados si no se paga el rescate.

Aunque hasta ahora ninguna empresa ha sido públicamente incluida en la lista de filtraciones de Cl0p, esto concuerda con tácticas previas del actor: espera semanas antes de exponer datos reportados.

¿Por qué es grave para empresas?

Oracle EBS es ampliamente usado en entornos empresariales para gestión integral (finanzas, compras, recursos humanos…), por lo que comprometerlo brinda un alto valor al atacante.

Una vulnerabilidad día cero de esta gravedad ofrece una ventana de exposición crítica antes de que existan parches o mitigaciones disponibles.

Las técnicas combinadas son sofisticadas y permiten escalación de privilegios, persistencia y movimiento lateral.

El actor Cl0p ya tiene historial exitoso en campañas de ransomware de gran escala, explotando fallos en soluciones como Accellion FTA, GoAnywhere MFT, MOVEit y otras plataformas de intercambio de archivos.

La campaña parece haber sido cuidadosamente planificada, con fases de reconocimiento previas que datan de julio de 2025.

Recomendaciones urgentes

Revisar el uso de Oracle EBS en nuestros sistemas y si está expuesto a Internet o accesible desde redes de terceros.

Aplicar inmediatamente los parches y actualizaciones que Oracle haya publicado para esta vulnerabilidad (CVE-2025-61882).

Implementar monitoreo y detección de amenazas en componentes Oracle EBS: vigilancia de endpoints /OA_HTML/SyncServlet, análisis de plantillas XSL, rastreo de actividad de la cuenta applmgr y procesos Java ejecutados.

Limitar acceso y endurecer controles: uso de firewalls, segmentación de red, control de accesos mínimos privilegiados, autenticación fuerte para administradores.

Auditoría interna de logs, integridad y actividad sospechosa en sistemas Oracle, Java, servidores relacionados.

Preparar plan de respuesta ante incidentes: aislar servidores Oracle si hay sospecha de compromiso, preservar evidencias, notificar al equipo de seguridad.

Concienciación interna: alertar a los equipos de TI, DBA, operaciones y seguridad sobre esta amenaza.

Evaluar riesgos de terceros: proveedores externos que tengan acceso a Oracle EBS o que operen módulos relacionados podrían también ser vectores de propagación.

Conclusión

Este incidente es un recordatorio claro de que incluso aplicaciones empresariales maduras pueden contener fallos críticos que, al ser explotados en cadena de suministro o mediante campañas dirigidas, generan daños severos. La rapidez en aplicar parches, monitorear actividad sospechosa y tener protocolos de respuesta sólidos puede marcar la diferencia entre contener un ataque o sufrir una filtración masiva