Tvrtka Mandiant izvijestila je da su neke organizacije uspjele blokirati aktivnosti napadača ili ispraviti ranjivosti, dok su druge doživjele provale, rezultirajući objavom ukradenih podataka na ShinyHunters DLS-u (site za curenje podataka). Analiza bash skripte ostavljene u staging okruženju pokazuje da su napadači provodili izviđanje na kompromitiranim organizacijama, uključujući mapiranje PeopleSoft konfiguracija, pregled rasporeda procesa i XML konfiguracija WebLogic servera. Na kraju su prijetitelji uspostavili izlaznu SSH vezu s IP adresom 176.120.22.24, koja hosta ShinyHuntersov DLS. Ukradeni podaci prvo su komprimirani pomoću alata zstd. DLS tvrdi da je povratio 48GB podataka od jedne žrtve.
ShinyHunters je aktivan barem od 2019. godine. Tijekom posljednjih nekoliko godina, izvršio je brojne napade na neke od najvećih svjetskih tvrtki, utječući na milijune ljudi. Mali uzorak žrtava uključuje Ticketmaster (putem provale Snowflake-a, koji je hostao podatke), najveću banku u Španjolskoj, Santander, te Salesforce (i, preko njega, Google i, navodno, mnoge druge tvrtke). ShinyHunters koristi razne tehnike za stjecanje inicijalnog pristupa, uključujući iskorištavanje pogrešnih konfiguracija u oblaku i softverskih ranjivosti, krađu OAuth tokena, napade na opskrbni lanac, glasovno phishing te druge oblike socijalnog inženjeringa.
Mandiant i Rapid7 pružaju detaljne indikatore kompromitacije. Također savjetuju korisnicima PeopleSofta o koracima koje trebaju poduzeti odmah. S obzirom na stopu uspjeha ShinyHuntersa, svi korisnici PeopleSofta trebali bi ozbiljno shvatiti ove savjete.
