Menurut pengakuan anggota Shiny Hunters kepada TechCrunch, kelompok tersebut berhasil memperoleh akses ke berbagai organisasi dengan memanfaatkan kerentanan yang belum ditambal pada server PeopleSoft. Karena eksploitasi dilakukan sebelum Oracle sempat merilis perbaikan, celah ini dikategorikan sebagai zero-day vulnerability, salah satu jenis ancaman paling berbahaya dalam dunia keamanan siber.

Mandiant mengatakan telah menghubungi lebih dari 100 organisasi global yang berpotensi terdampak untuk membantu mereka membatasi akses tidak sah ke sistem yang rentan. Mayoritas korban berada di Amerika Serikat, dan sekitar dua pertiga diantaranya berasal dari sektor pendidikan tinggi.

“Meski beberapa organisasi berhasil memblokir aktivitas penyerang atau memperbaiki kerentanan, organisasi lainnya mengalami kompromi yang mengakibatkan data curian dipublikasikan di situs kebocoran data milik Shiny Hunters,” tulis Mandiant dalam laporan investigasinya.

Grup hacker tersebut mengklaim sejumlah universitas dan perguruan tinggi termasuk di antara korban yang berhasil dibobol. Sebagai bukti, mereka membagikan salinan pesan pemerasan yang dikirim kepada salah satu institusi pendidikan.

Dalam pesan, Shiny Hunters mengklaim telah mencuri ratusan ribu data mahasiswa yang mencakup nama lengkap, alamat rumah, nomor telepon, alamat email, tanggal lahir, jenis kelamin, etnis, status pendaftaran, indeks prestasi kumulatif (IPK), jurusan, hingga nomor identitas mahasiswa dari berbagai kampus.

Jika klaim tersebut benar, kebocoran data ini berpotensi menjadi salah satu insiden keamanan terbesar yang menimpa sektor pendidikan dalam beberapa tahun terakhir karena mencakup data pribadi yang sangat sensitif.

Kampanye terbaru ini melanjutkan pola serangan yang selama ini menjadi ciri khas Shiny Hunters. Kelompok tersebut dikenal mencari perangkat lunak yang digunakan secara luas oleh banyak organisasi, kemudian mengeksploitasi satu kerentanan untuk menyerang banyak korban sekaligus.

Dalam setahun terakhir, Shiny Hunters juga dikaitkan dengan sejumlah serangan terhadap perusahaan yang menggunakan platform Salesforce, Gainsight, serta berbagai layanan pendidikan yang terhubung dengan perangkat lunak milik Instructure.

Modus mereka umumnya serupa, setelah mendapatkan akses ke sistem korban, peretas mencuri data perusahaan maupun pelanggan, lalu mengancam akan mempublikasikannya apabila korban menolak membayar tebusan.

Awal tahun ini, Instructure bahkan mengakui telah membayar para peretas setelah sistem perusahaan tersebut berhasil dibobol dua kali. Dalam salah satu insiden, kelompok Shiny Hunters juga dilaporkan merusak halaman login sejumlah sekolah yang menggunakan platform informasi pendidikan Canvas milik Instructure.