Die Google Threat Intelligence Group (GTIG) und Mandiant haben neue Details zu einer groß angelegten Erpressungskampagne veröffentlicht, die unter dem Namen der bekannten CL0P-Gruppe läuft. Ziel der Angriffe ist die Oracle E-Business Suite (EBS).

Laut GTIG-Analyse gelang es den Angreifern, gleich mehrere Schwachstellen zu kombinieren – insgesamt bis zu fünf, darunter offenbar auch eine bislang unbekannte Zero-Day-Lücke (vermutlich CVE-2025-61882). Dadurch konnten sie eine Remote-Code-Ausführung (RCE) ohne Authentifizierung erreichen und sensible Kundendaten in großem Umfang abgreifen. Erste Hinweise deuten darauf hin, dass die Angriffe bereits am 10. Juli 2025 begonnen haben – rund drei Monate, bevor sie entdeckt wurden.

Besonders auffällig: Die Gruppe setzte hochentwickelte, mehrstufige und dateilose Malware ein – darunter Varianten wie GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF und SAGEWAVE. Diese Technik erschwert die Erkennung durch klassische Virenscanner erheblich. Nach Einschätzung der GTIG-Experten zeigt das, dass die Täter im Vorfeld erhebliche Ressourcen in ihre Vorbereitung investiert haben.

John Hultquist, Chefanalyst der Google Threat Intelligence Group bei Google Cloud, beschreibt den möglichen Umfang der Attacke: „Wir untersuchen derzeit noch das volle Ausmaß des Vorfalls, gehen aber davon aus, dass Dutzende Organisationen betroffen sind. Frühere CL0P-Kampagnen haben bereits Hunderte von Opfern gefordert. Leider sehen wir im Cybercrime-Bereich zunehmend groß angelegte Zero-Day-Angriffe wie diesen.“

Den vollständigen Bericht mit weiteren Details und Handlungsempfehlungen finden Sie hier .