Червей TeamPCP
Изследователи по киберсигурност разкриха мащабна кампания, задвижвана от червеи, която систематично атакува облачни среди, за да изгради злонамерена инфраструктура за последваща експлоатация. Активност, свързана с тази операция, е наблюдавана около 25 декември 2025 г., разкривайки координирани усилия за злоупотреба с открити услуги и уязвимости в съвременните облачни стекове.
Съдържание
TeamPCP: Бързо развиващ се клъстер от заплахи
Кампанията е приписана на клъстер от заплахи, проследяван като TeamPCP, известен също с псевдоними като DeadCatx3, PCPcat, PersyPCP и ShellForce. Доказателствата сочат, че групата действа поне от ноември 2025 г., като свързаната с нея активност в Telegram датира от 30 юли 2025 г. Telegram каналът на TeamPCP, който е нараснал до над 700 членове, се използва за публикуване на откраднати данни, свързани с жертви в Канада, Сърбия, Южна Корея, Обединените арабски емирства и Съединените щати.
Изследователите за първи път документират операциите на актьора през декември 2025 г. под обозначението „Операция PCPcat“.
Опортюнистична злоупотреба със слабостите на облачните технологии
TeamPCP работи като облачна платформа за киберпрестъпления, възползвайки се от открити интерфейси за управление, често срещани неправилни конфигурации и критични уязвимости, включително наскоро разкрития недостатък на React2Shell (CVE-2025-55182, CVSS 10.0). Основните пътища на заразяване, наблюдавани в кампанията, включват:
Изложени Docker API, Kubernetes API, Ray dashboards, Redis сървъри и уязвими React/Next.js приложения
Тези слабости се използват не за насочване към конкретни индустрии, а за опортюнистично завладяване на инфраструктура, най-често в среди на Amazon Web Services и Microsoft Azure, превръщайки засегнатите организации в странични жертви.
Индустриализирана експлоатация в голям мащаб
Вместо да разчита на нови техники, TeamPCP набляга на мащаба и автоматизацията. Операцията комбинира установени инструменти, известни уязвимости и широко документирани неправилни конфигурации, за да индустриализира експлоатацията. Компрометираните среди се трансформират в саморазпространяваща се криминална екосистема, която поддържа сканиране, странично движение, постоянство и монетизация.
Основните цели включват изграждане на разпределена прокси и сканираща инфраструктура, извличане на данни, внедряване на рансъмуер, провеждане на кампании за изнудване и добив на криптовалута. Компрометираните активи също се използват за хостинг на данни, прокси услуги и релета за командване и контрол.
Модулни полезни товари и инструменти, съобразени с облака
Успешният първоначален достъп позволява доставянето на вторични полезни товари от външни сървъри, обикновено в shell или Python формат, предназначени да разширят обхвата на кампанията. Централен компонент, proxy.sh, инсталира прокси, peer-to-peer и тунелиращи помощни програми, като същевременно разполага със скенери, които непрекъснато сондират интернет за нови уязвими цели.
Забележително е, че proxy.sh извършва пръстови отпечатъци на средата по време на изпълнение, за да определи дали се изпълнява в клъстер на Kubernetes. Когато бъде открита такава среда, скриптът следва отделен път на изпълнение и разполага специфични за клъстера полезни товари, подчертавайки персонализирания подход на групата към облачно-ориентираните цели.
Подмножество от поддържащите полезни товари включва:
- scanner.py, който изтегля CIDR диапазони от GitHub акаунт, свързан с DeadCatx3, за да локализира неправилно конфигурирани Docker API и Ray dashboards, с опция за добив на криптовалута чрез mine.sh
- kube.py, който се фокусира върху събирането на идентификационни данни от Kubernetes, откриването на pod-ове и пространства от имена, базирани на API, разпространението чрез достъпни pod-ове и персистирането чрез привилегировани pod-ове, монтирани на всеки възел.
- react.py, който използва уязвимост в React (CVE-2025-29927), за да постигне дистанционно изпълнение на команди в голям мащаб
- pcpcat.py, който сканира големи IP диапазони за открити Docker API и Ray dashboards и разполага злонамерени контейнери или задачи, изпълняващи Base64-кодирани полезни товари
Възможности за командване и контрол и пост-експлоатационна дейност
Изследователите са свързали командно-контролен възел на адрес 67.217.57[.]240 с операцията, отбелязвайки припокривания с използването на Sliver, легитимна C2 рамка с отворен код, често злоупотребявана от злонамерени лица по време на фазите след експлоатация.
Хибриден модел за монетизация, създаден за устойчивост
Кампанията PCPcat демонстрира пълен жизнен цикъл на атаката, сканиране, експлоатация, персистентност, тунелиране, кражба на данни и монетизация, разработени специално за облачна инфраструктура. Основната опасност, породена от TeamPCP, не се крие в техническите иновации, а в оперативната интеграция и мащаба. Повечето експлойти и зловреден софтуер използват добре познати уязвимости и леко модифицирани инструменти с отворен код.
В същото време групата съчетава злоупотреба с инфраструктура с кражба на данни и изнудване. Изтекли бази данни за автобиографии, записи за самоличност и корпоративни данни се публикуват чрез ShellForce, за да подхранват операции за рансъмуер, измами и изграждане на репутация в екосистемата на киберпрестъпността. Тази стратегия за двойна монетизация, която печели както от изчислителни ресурси, така и от открадната информация, осигурява множество потоци от приходи и увеличава устойчивостта срещу прекъсвания и премахване на данни.
