دودة TeamPCP
كشف باحثو الأمن السيبراني عن حملة واسعة النطاق، مدفوعة ببرامج خبيثة، تستهدف بيئات الحوسبة السحابية بشكل منهجي لإنشاء بنية تحتية خبيثة لاستغلالها لاحقًا. وقد رُصدت أنشطة مرتبطة بهذه العملية في حوالي 25 ديسمبر 2025، مما كشف عن جهد منسق لاستغلال الخدمات المكشوفة والثغرات الأمنية في منصات الحوسبة السحابية الحديثة.
جدول المحتويات
TeamPCP: مجموعة تهديدات سريعة الظهور
تُعزى هذه الحملة إلى مجموعة تهديدات تُعرف باسم TeamPCP، وتُعرف أيضاً بأسماء مستعارة منها DeadCatx3 وPCPcat وPersyPCP وShellForce. تشير الأدلة إلى أن المجموعة تعمل منذ نوفمبر 2025 على الأقل، مع وجود نشاط مرتبط بها على تطبيق تيليجرام يعود إلى 30 يوليو 2025. تُستخدم قناة TeamPCP على تيليجرام، التي تضم أكثر من 700 عضو، لنشر بيانات مسروقة مرتبطة بضحايا في كندا وصربيا وكوريا الجنوبية والإمارات العربية المتحدة والولايات المتحدة.
وثّق الباحثون عمليات الجهة الفاعلة لأول مرة في ديسمبر 2025 تحت مسمى عملية PCPcat.
استغلال نقاط ضعف الحوسبة السحابية الأصلية بشكل انتهازي
تعمل شركة TeamPCP كمنصة جرائم إلكترونية سحابية، مستغلةً واجهات الإدارة المكشوفة، وأخطاء التكوين الشائعة، والثغرات الأمنية الخطيرة، بما في ذلك ثغرة React2Shell التي تم الكشف عنها مؤخرًا (CVE-2025-55182، CVSS 10.0). تشمل مسارات العدوى الرئيسية التي لوحظت في الحملة ما يلي:
واجهات برمجة تطبيقات Docker المكشوفة، وواجهات برمجة تطبيقات Kubernetes، ولوحات تحكم Ray، وخوادم Redis، وتطبيقات React/Next.js المعرضة للاختراق
لا يتم استغلال نقاط الضعف هذه لاستهداف صناعات محددة، ولكن للاستيلاء على البنية التحتية بشكل انتهازي، وغالبًا ما يكون ذلك داخل بيئات Amazon Web Services و Microsoft Azure، مما يحول المؤسسات المتضررة إلى ضحايا جانبيين.
الاستغلال الصناعي على نطاق واسع
بدلاً من الاعتماد على تقنيات جديدة، يركز فريق TeamPCP على التوسع والأتمتة. تجمع هذه العملية بين الأدوات الراسخة، والثغرات الأمنية المعروفة، والتكوينات الخاطئة الموثقة على نطاق واسع، لتوسيع نطاق الاستغلال. تتحول البيئات المخترقة إلى نظام بيئي إجرامي ذاتي الانتشار يدعم المسح، والتنقل الجانبي، والبقاء، وتحقيق الربح.
تشمل الأهداف الرئيسية بناء بنية تحتية موزعة للخوادم الوكيلة والمسح، واستخراج البيانات، ونشر برامج الفدية، وشن حملات ابتزاز، وتعدين العملات المشفرة. كما يتم إعادة استخدام الأصول المخترقة لاستضافة البيانات، وخدمات الخوادم الوكيلة، ومراكز التحكم والسيطرة.
حمولات معيارية وأدوات مُدركة للحوسبة السحابية
يُمكّن الوصول الأولي الناجح من إيصال حمولات ثانوية من خوادم خارجية، عادةً ما تكون بصيغة shell أو Python، مصممة لتوسيع نطاق الحملة. يقوم مكون مركزي، proxy.sh، بتثبيت أدوات الوكيل، والشبكات من نظير إلى نظير، والأنفاق، بالإضافة إلى نشر ماسحات ضوئية تفحص الإنترنت باستمرار بحثًا عن أهداف جديدة ضعيفة.
ومن الجدير بالذكر أن برنامج proxy.sh يقوم بتحليل بيئة التشغيل لتحديد ما إذا كان يعمل داخل مجموعة Kubernetes. عند اكتشاف مثل هذه البيئة، يسلك البرنامج مسار تنفيذ منفصل وينشر حمولات خاصة بالمجموعة، مما يؤكد النهج المخصص الذي تتبعه المجموعة للأهداف السحابية الأصلية.
تتضمن مجموعة فرعية من الحمولات الداعمة ما يلي:
- يقوم برنامج scanner.py بتنزيل نطاقات CIDR من حساب GitHub مرتبط بـ DeadCatx3 لتحديد واجهات برمجة تطبيقات Docker ولوحات تحكم Ray التي تم تكوينها بشكل خاطئ، مع إمكانية تعدين العملات المشفرة عبر mine.sh
- يركز ملف kube.py على جمع بيانات اعتماد Kubernetes، واكتشاف وحدات pods ومساحات الأسماء باستخدام واجهة برمجة التطبيقات، ونشرها عبر وحدات pods التي يمكن الوصول إليها، واستمرارها عبر وحدات pods ذات الامتيازات المثبتة على كل عقدة.
- يستغل ملف react.py ثغرة أمنية في React (CVE-2025-29927) لتحقيق تنفيذ الأوامر عن بُعد على نطاق واسع
- يقوم برنامج pcpcat.py بفحص نطاقات عناوين IP واسعة بحثًا عن واجهات برمجة تطبيقات Docker المكشوفة ولوحات تحكم Ray، وينشر حاويات أو مهام ضارة تشغل حمولات مشفرة بصيغة Base64.
قدرات القيادة والسيطرة وما بعد الاستغلال
ربط الباحثون عقدة قيادة وتحكم في 67.217.57[.]240 بالعملية، مشيرين إلى وجود تداخلات مع استخدام Sliver، وهو إطار عمل C2 مفتوح المصدر شرعي يتم إساءة استخدامه بشكل متكرر من قبل الجهات الفاعلة في التهديدات خلال مراحل ما بعد الاستغلال.
نموذج هجين لتحقيق الدخل مصمم من أجل المرونة
تُظهر حملة PCPcat دورة حياة هجوم كاملة، تشمل المسح، والاستغلال، والثبات، والاختراق، وسرقة البيانات، وتحقيق الربح، وهي مصممة خصيصًا للبنية التحتية السحابية. لا يكمن الخطر الرئيسي الذي تُشكّله TeamPCP في الابتكار التقني، بل في التكامل التشغيلي والتوسع. تستغل معظم عمليات الاستغلال والبرامج الضارة ثغرات أمنية معروفة وأدوات مفتوحة المصدر مُعدّلة بشكل طفيف.
في الوقت نفسه، يمزج هذا الفريق بين إساءة استخدام البنية التحتية وسرقة البيانات والابتزاز. إذ تُنشر قواعد بيانات السير الذاتية المسربة، وسجلات الهوية، وبيانات الشركات عبر منصة ShellForce لتغذية عمليات برامج الفدية والاحتيال وبناء السمعة داخل منظومة الجرائم الإلكترونية. توفر استراتيجية الربح المزدوجة هذه، التي تستفيد من موارد الحوسبة والمعلومات المسروقة، مصادر دخل متعددة وتزيد من القدرة على الصمود في وجه التعطيل والإغلاق.
