Google Mandiant en Google Threat Intelligence Group (GTIG) hebben bekendgemaakt dat ze een nieuw cluster van activiteit volgen die mogelijk gekoppeld is aan een financieel gemotiveerde dreigingsacteur die bekend staat als CL0P.
De kwaadaardige activiteit omvat het verzenden van afpersingsmails naar leidinggevenden bij verschillende organisaties en beweren dat ze gevoelige gegevens van hun Oracle E-Business Suite hebben gestolen.
“Deze activiteit begon op of vóór 29 september 2025, maar de experts van Mandiant bevinden zich nog in de vroege stadia van meerdere onderzoeken en hebben de claims van deze groep nog niet onderbouwd”, vertelde Genevieve Stark, hoofd van cybercriminaliteit en informatie -analyse van informatie -operaties bij Gtig, aan het Hacker News in een verklaring in een verklaring.
Mandiant CTO Charles Carmakal beschreef de lopende activiteit als een “e-mailcampagne met hoge volume” die wordt gelanceerd uit honderden gecompromitteerde rekeningen, met bewijs dat suggereert dat ten minste een van die accounts eerder is geassocieerd met activiteit van Fin11, die een subset is binnen de TA505-groep.
Fin11, per Mandiant, heeft al in 2020 ransomware- en afpersingsaanvallen aangegaan. Eerder was het gekoppeld aan de verdeling van verschillende malware -families zoals gebrekkige, FriendsPeak en Mixlabel.
“De kwaadaardige e -mails bevatten contactinformatie en we hebben geverifieerd dat de twee specifieke aangeboden contactadressen ook publiekelijk worden vermeld op de CL0P Data Lak Site (DLS),” voegde Carmakal toe. “Deze beweging suggereert sterk dat er enige associatie is met CL0P, en ze maken gebruik van de merkherkenning voor hun huidige operatie.”
Dat gezegd hebbende, zei Google dat het op zichzelf geen bewijs heeft om de vermeende banden te bevestigen, ondanks overeenkomsten in tactieken die werden waargenomen in eerdere CL0P -aanvallen. Het bedrijf dringt er ook bij organisaties op aan om hun omgevingen te onderzoeken voor bewijs van dreigingsacteuractiviteit.
Het is momenteel niet duidelijk hoe de initiële toegang wordt verkregen. Volgens Bloomberg wordt echter aangenomen dat de aanvallers de e-mails van gebruikers in gevaar brachten en de standaard wachtwoordresetfunctie hebben misbruikt om geldige inloggegevens te krijgen van internetgerichte Oracle E-Business Suite-portals, die informatie overhit van HalyCon.
The Hacker News heeft contact opgenomen met Oracle voor verder commentaar over de afpersingscampagne en zal het verhaal bijwerken als we het horen.
In de afgelopen jaren is de zeer productieve CL0P-groep toegeschreven aan een aantal aanvalsgolven die zero-day fouten benutten in Accellion FTA, SolarWinds Serv-U FTP, Fortra Goanywhere MFT en Progress Moveit Transfer-platforms, die met succes duizenden organisaties inbreuk maken.
