Conform postării ample publicate de grup pe dark web, breșa a vizat sistemele de resurse umane și salarizare ale Consiliului Europei din mai multe departamente, printre care Secretariatul, Adunarea Parlamentară și Direcția Europeană pentru Calitatea Medicamentelor și Îngrijirea Sănătății. ShinyHunters susține că a exfiltrat peste 429.000 de fișiere conținând state de plată pentru mai mult de 10.000 de angajați, acoperind perioada 2011–2026, alături de peste 14.000 de CV-uri, 3.700 de dosare de personal și mii de documente suplimentare.

 

 

Datele pretins furate includ nume de angajați, ID-uri, adrese de domiciliu, numere de telefon, date de naștere, salarii, date bancare, informații fiscale și de asigurări sociale, precum și fișe medicale. ShinyHunters mai afirmă că deține contracte și ordine de achiziție, rapoarte de absențe și concedii medicale, evaluări de performanță și grile salariale pentru 2026.

 

Grupul, care se descrie ca o operațiune de tip „extorcare ca serviciu”, și-a publicat revendicările pe forumuri underground, alături de ceea ce susține că ar fi o structură de fișiere cu date exfiltrate. Conform postării, setul de date presupus ar include numele complete ale angajaților, adresele de e-mail corporative, fișiere PDF cu extrase bancare, formulare fiscale W-9 cu ID-urile angajaților, sondaje interne, analize de engagement și înregistrări de feedback la locul de muncă datând din 2016 până în iunie 2026.

 

 

SHADOWBYT3$ a emis o cerere de răscumpărare de 2 milioane de dolari cu un termen limită de 48 de ore, stabilit pentru 15 iunie, amenințând că va divulga sau vinde datele prin servicii de escrow de pe forum dacă plata nu va fi efectuată. După ce Nintendo a refuzat aparent să negocieze, grupul și-a redirecționat extorcarea direct către TINYpulse, prelungind termenul limită până pe 16 iunie și declarând: „Nintendo a decis să nu plătească, așa că cerem ca TINYpulse să plătească, altfel toate datele vor fi divulgate.”

 

Lansarea Athena vine la aproximativ două luni după ce Anthropic a dezvăluit Proiectul Glasswing și modelul său Claude Mythos Preview, care a demonstrat capacitatea de a descoperi autonom mii de vulnerabilități zero-day în toate sistemele de operare și browserele web majore. Acel anunț a produs unde de șoc în industria de securitate, directorii CISO tratându-l ca pe un punct de cotitură ce impunea noi abordări de colaborare.

Coaliția reunește descoperirile de vulnerabilități ale organizațiilor membre — inclusiv cele obținute prin programe AI de frontieră precum Proiectul Glasswing al Anthropic și Daybreak al OpenAI — și le remediază sub embargo, asigurând că defectele sunt corectate înainte de a deveni publice. Potrivit Chainguard, Athena a procesat deja peste 20.000 de descoperiri și a livrat mai mult de 2.000 de patch-uri în 500 de proiecte open source, urmând ca primul val de dezvăluire coordonată să aibă loc luna viitoare.

În loc să se bazeze pe un singur implant pe care apărătorii l-ar fi putut găsi și elimina, Velvet Ant a înlocuit pam_unix.so — modulul Linux de autentificare conectabilă (PAM) care verifică parolele — și mai multe binare OpenSSH cu versiuni modificate cu uși ascunse, pe mai multe sisteme. Acest lucru le-a oferit atacatorilor o metodă secretă de a se autentifica ca orice utilizator și un keylogger integrat care captura acreditivele legitime pe măsură ce administratorii le tastau.

 

 

Sygnia a identificat nouă variante distincte ale modulului PAM malițios, fiecare compilată într-un mediu de build separat, ceea ce indică o operațiune bine finanțată și deliberată. Binarele SSH modificate conțineau un flag personalizat pentru a suprima propria înregistrare a acreditivelor, permițând operatorilor să-și gestioneze urma forensică în timpul activității în direct.

Rețeaua critică vizată nu avea o conexiune directă la internet. Velvet Ant a ajuns la ea printr-o cale laterală în mai multe etape: mai întâi a compromis servere expuse la internet, apoi a creat tuneluri prin rețeaua IT corporativă folosind o versiune modificată a GS-Netcat, redenumită „auditdb” și plasată în /usr/sbin/ pentru a se camufla printre utilitarele de sistem.

 

Pana a început în primele ore ale dimineții și s-a agravat rapid, utilizatori de pe mai multe continente raportând că au fost deconectați din conturile lor și că nu se puteau reconecta. Până la ora 9:00 dimineața, ora Coastei de Est a SUA, Downdetector înregistrase peste 100.000 de rapoarte din partea utilizatorilor cu privire la probleme legate de Facebook, în timp ce aproape 10.000 de utilizatori de Instagram au semnalat și ei dificultăți cu aplicația și cu autentificarea.

 

 

Utilizatorii au întâlnit mesaje de eroare precum „ceva a mers greșit” și „eroare de interogare”, alături de feed-uri goale și conținut care nu se încărca. Site-ul de stare al Meta indica „perturbări majore” pentru Facebook Ads Manager, iar echipele de inginerie ale companiei au recunoscut că sunt „conștiente de problemă și lucrează activ pentru a o rezolva cât mai repede posibil”.

 

Oracle a publicat un avertisment de securitate în afara ciclului obișnuit pe 10 iunie pentru CVE-2026-35273, o vulnerabilitate de execuție de cod de la distanță în PeopleSoft Enterprise PeopleTools versiunile 8.61 și 8.62, cu un scor CVSS de 9,8. Vulnerabilitatea, localizată în componenta Updates Environment Management, nu necesită autentificare și nicio interacțiune din partea utilizatorului — ci doar acces în rețea prin HTTP — pentru a prelua controlul complet asupra sistemului.

 

 

Mandiant și Grupul de Informații despre Amenințări al Google au confirmat că ShinyHunters, urmărit intern sub denumirea UNC6240, a exploatat vulnerabilitatea în perioada 27 mai – 9 iunie. Google a notificat peste 100 de organizații ale căror sisteme corespundeau unor endpoint-uri vulnerabile, 68% dintre acestea aparținând sectorului învățământului superior, majoritatea din Statele Unite. ShinyHunters susține că a vizat aproximativ 300 de instanțe PeopleSoft din medii cloud și on-premises.

Charles Carmakal, CTO al Mandiant, a confirmat exploatarea activă în medii reale, în timp ce Zero Day Initiative de la Trend Micro — căreia Oracle îi acordă meritul pentru raportarea vulnerabilității — a declarat pentru SecurityWeek că „în prezent se observă o exploatare limitată”, cu o investigație în desfășurare.

 

Gigantul farmaceutic danez, producătorul medicamentului de slăbit Wegovy, a dezvăluit breșa de securitate într-un comunicat emis din sediul central din Bagsværd, Danemarca, pe 11 iunie 2026. Compania a anunțat că a demarat o investigație alături de experți externi în securitate cibernetică și a contactat autoritățile competente.

 

 

„Incidentul a afectat o cantitate limitată de informații legate de pacienții care participă la unele dintre studiile noastre clinice”, a declarat Novo Nordisk în comunicatul său, fără a preciza care studii au fost implicate.

Categoriile potențiale de date cu caracter personal afectate pot include ID-ul pacientului, anul nașterii, sexul și date medicale sau de imunogenicitate, a adăugat compania. Cu toate acestea, Novo Nordisk a precizat că informațiile nu sunt legate direct de niciun pacient prin nume sau alți identificatori direcți și că nu crede că incidentul ar permite unui terț să identifice participanții la studiile clinice. Identificarea pacienților ar necesita acces la informații suplimentare care nu au făcut parte din breșa de securitate, a menționat compania.

 

Potrivit SecurityWeek, GreatXML necesită ca un atacator să copieze un fișier XML special conceput și un folder Recovery în rădăcina partiției de recuperare a computerului țintă. După repornirea în Modul Recovery — realizată ținând apăsat Shift în timp ce se face clic pe Restart — atacatorul obține acces nerestricționat la volumul protejat cu BitLocker.

 

 

Condiția esențială este ca scanarea offline a Windows Defender să fi fost inițiată cel puțin o dată pe sistemul țintă. „Dacă scanarea offline Defender nu a fost niciodată inițiată, atunci trebuie fie să te conectezi și să o inițiezi tu însuți, fie să găsești o modalitate de a porni în WinRE în starea de scanare offline”, a scris cercetătorul în dezvăluire. Aceasta înseamnă că un atacator cu acces fizic poate declanșa pur și simplu o scanare offline înainte de a executa exploitul, făcând efectiv orice mașină Windows vulnerabilă.

 

Într-un buletin de suport accesibil doar prin portalul pentru clienți, ServiceNow a declarat că actualizarea „viza o problemă de securitate care ar putea permite unui utilizator neautentificat, în anumite circumstanțe, să obțină acces mai mare la instanțele ServiceNow decât era prevăzut”, conform raportărilor BleepingComputer și Hackread, care au consultat buletinul. Patch-ul a modificat configurația unui endpoint de API pentru a restricționa accesul exclusiv la utilizatorii autentificați.

 

 

ServiceNow a confirmat că actorii de amenințare au exploatat vulnerabilitatea. „Pentru un subset de clienți, am observat dovezi ale unor interogări reușite ale tabelelor de instanță”, se arăta în buletin, adăugând că societatea a deschis cazuri de suport cu organizațiile afectate. Compania nu a dezvăluit numărul clienților afectați și nici tipul datelor care ar fi putut fi accesate.

Administratorii care au discutat incidentul online au identificat endpoint-ul vulnerabil ca fiind /api/now/related_list_edit/create, despre care membrii comunității au afirmat că avea parametrul requires_authentication setat la false, permițând efectiv oricui de pe internet să interogheze datele instanței fără o sesiune validă sau credențiale. Administratorii au distribuit, de asemenea, o adresă IP specifică — 51.159.98.241 — ca indicator de compromitere, îndemnându-și colegii să-și verifice jurnalele.