TeamPCP Worm সম্পর্কে

সাইবার নিরাপত্তা গবেষকরা একটি ব্যাপক, কৃমি-চালিত প্রচারণা আবিষ্কার করেছেন যা পদ্ধতিগতভাবে ক্লাউড-নেটিভ পরিবেশকে লক্ষ্য করে পরবর্তী শোষণের জন্য ক্ষতিকারক অবকাঠামো তৈরি করে। এই অভিযানের সাথে সম্পর্কিত কার্যকলাপ ২৫ ডিসেম্বর, ২০২৫ সালের দিকে পরিলক্ষিত হয়েছিল, যা আধুনিক ক্লাউড স্ট্যাকগুলিতে উন্মুক্ত পরিষেবা এবং দুর্বলতার অপব্যবহারের জন্য একটি সমন্বিত প্রচেষ্টা প্রকাশ করে।

টিমপিসিপি: একটি দ্রুত উদীয়মান হুমকি ক্লাস্টার

এই প্রচারণার জন্য TeamPCP নামে পরিচিত একটি হুমকি গোষ্ঠীকে দায়ী করা হয়েছে, যা DeadCatx3, PCPcat, PersyPCP এবং ShellForce নামেও পরিচিত। প্রমাণ থেকে জানা যায় যে এই গোষ্ঠীটি কমপক্ষে ২০২৫ সালের নভেম্বর থেকে সক্রিয়, এবং টেলিগ্রামের কার্যকলাপ ৩০ জুলাই, ২০২৫ সাল থেকে শুরু হয়েছে। TeamPCP টেলিগ্রাম চ্যানেল, যার সদস্য সংখ্যা ৭০০ জনেরও বেশি, কানাডা, সার্বিয়া, দক্ষিণ কোরিয়া, সংযুক্ত আরব আমিরাত এবং মার্কিন যুক্তরাষ্ট্রের ভুক্তভোগীদের সাথে সম্পর্কিত চুরি করা তথ্য প্রকাশ করতে ব্যবহৃত হয়।

গবেষকরা প্রথম ২০২৫ সালের ডিসেম্বরে অভিনেতার অস্ত্রোপচারের তথ্য নথিভুক্ত করেন যার নামকরণ করা হয়েছিল "অপারেশন পিসিপিক্যাট"।

ক্লাউড-নেটিভ দুর্বলতার সুযোগসুবিধাজনক অপব্যবহার

TeamPCP একটি ক্লাউড-নেটিভ সাইবার ক্রাইম প্ল্যাটফর্ম হিসেবে কাজ করে, উন্মুক্ত ব্যবস্থাপনা ইন্টারফেস, সাধারণ ভুল কনফিগারেশন এবং সম্প্রতি প্রকাশিত React2Shell ত্রুটি (CVE-2025-55182, CVSS 10.0) সহ গুরুত্বপূর্ণ দুর্বলতাগুলিকে পুঁজি করে। প্রচারণায় পরিলক্ষিত প্রাথমিক সংক্রমণের পথগুলির মধ্যে রয়েছে:

এক্সপোজড ডকার এপিআই, কুবারনেটস এপিআই, রে ড্যাশবোর্ড, রেডিস সার্ভার এবং দুর্বল রিঅ্যাক্ট/নেক্সট.জেএস অ্যাপ্লিকেশন

এই দুর্বলতাগুলিকে নির্দিষ্ট শিল্পকে লক্ষ্য করার জন্য নয়, বরং সুযোগসন্ধানীভাবে অবকাঠামো দখল করার জন্য কাজে লাগানো হয়, প্রায়শই অ্যামাজন ওয়েব সার্ভিসেস এবং মাইক্রোসফ্ট অ্যাজুরে পরিবেশের মধ্যে, ক্ষতিগ্রস্ত সংস্থাগুলিকে জামানতমূলক শিকারে পরিণত করে।

স্কেলে শিল্পায়িত শোষণ

নতুন কৌশলের উপর নির্ভর করার পরিবর্তে, টিমপিসিপি স্কেল এবং অটোমেশনের উপর জোর দেয়। এই অপারেশনটি প্রতিষ্ঠিত সরঞ্জাম, পরিচিত দুর্বলতা এবং ব্যাপকভাবে নথিভুক্ত ভুল কনফিগারেশনগুলিকে একত্রিত করে শোষণকে শিল্পায়ন করে। আপোষিত পরিবেশগুলি একটি স্ব-প্রচারিত অপরাধমূলক বাস্তুতন্ত্রে রূপান্তরিত হয় যা স্ক্যানিং, পার্শ্বীয় চলাচল, অধ্যবসায় এবং নগদীকরণকে সমর্থন করে।

এর মূল উদ্দেশ্যগুলির মধ্যে রয়েছে বিতরণকৃত প্রক্সি তৈরি এবং অবকাঠামো স্ক্যান করা, ডেটা বের করে আনা, র‍্যানসমওয়্যার স্থাপন করা, চাঁদাবাজি অভিযান পরিচালনা করা এবং ক্রিপ্টোকারেন্সি মাইনিং করা। ক্ষতিগ্রস্থ সম্পদগুলি ডেটা হোস্টিং, প্রক্সি পরিষেবা এবং কমান্ড-এন্ড-কন্ট্রোল রিলেতেও পুনঃব্যবহৃত করা হয়।

মডুলার পেলোড এবং ক্লাউড-অ্যাওয়ার টুলিং

সফল প্রাথমিক অ্যাক্সেসের ফলে বহিরাগত সার্ভার থেকে সেকেন্ডারি পেলোড সরবরাহ করা সম্ভব হয়, সাধারণত শেল বা পাইথন আকারে, যা প্রচারণার নাগাল প্রসারিত করার জন্য ডিজাইন করা হয়েছে। একটি কেন্দ্রীয় উপাদান, proxy.sh, প্রক্সি, পিয়ার-টু-পিয়ার এবং টানেলিং ইউটিলিটি ইনস্টল করে এবং স্ক্যানার স্থাপন করে যা নতুন দুর্বল লক্ষ্যবস্তুর জন্য ইন্টারনেটে ক্রমাগত অনুসন্ধান করে।

উল্লেখযোগ্যভাবে, proxy.sh রানটাইম এনভায়রনমেন্ট ফিঙ্গারপ্রিন্টিং করে নির্ধারণ করে যে এটি একটি Kubernetes ক্লাস্টারের ভিতরে কার্যকর হচ্ছে কিনা। যখন এই ধরনের পরিবেশ সনাক্ত করা হয়, তখন স্ক্রিপ্টটি একটি পৃথক এক্সিকিউশন পাথ অনুসরণ করে এবং ক্লাস্টার-নির্দিষ্ট পেলোড স্থাপন করে, যা ক্লাউড-নেটিভ টার্গেটের জন্য গ্রুপের তৈরি পদ্ধতিকে আন্ডারস্কোর করে।

সাপোর্টিং পেলোডের একটি উপসেটের মধ্যে রয়েছে:

• scanner.py, যা DeadCatx3 এর সাথে যুক্ত একটি GitHub অ্যাকাউন্ট থেকে CIDR রেঞ্জ ডাউনলোড করে, ভুলভাবে কনফিগার করা Docker API এবং Ray ড্যাশবোর্ডগুলি সনাক্ত করে, mine.sh এর মাধ্যমে ঐচ্ছিক ক্রিপ্টোকারেন্সি মাইনিং সহ।
• kube.py, যা Kubernetes ক্রেডেনশিয়াল ফসল সংগ্রহ, পড এবং নেমস্পেসের API-ভিত্তিক আবিষ্কার, অ্যাক্সেসযোগ্য পডের মাধ্যমে প্রচার এবং প্রতিটি নোডে মাউন্ট করা বিশেষায়িত পডের মাধ্যমে স্থায়িত্বের উপর দৃষ্টি নিবদ্ধ করে।
• react.py, যা স্কেলে রিমোট কমান্ড এক্সিকিউশন অর্জনের জন্য একটি React দুর্বলতা (CVE-2025-29927) কাজে লাগায়।
• pcpcat.py, যা উন্মুক্ত ডকার API এবং Ray ড্যাশবোর্ডের জন্য বৃহৎ IP রেঞ্জ স্ক্যান করে এবং Base64-এনকোডেড পেলোড চালানোর জন্য ক্ষতিকারক কন্টেইনার বা কাজ স্থাপন করে।

কমান্ড-এন্ড-কন্ট্রোল এবং শোষণ-পরবর্তী ক্ষমতা

গবেষকরা 67.217.57[.]240-এ একটি কমান্ড-এন্ড-কন্ট্রোল নোডকে অপারেশনের সাথে যুক্ত করেছেন, স্লিভার ব্যবহারের সাথে ওভারল্যাপ লক্ষ্য করেছেন, একটি বৈধ ওপেন-সোর্স C2 ফ্রেমওয়ার্ক যা শোষণ-পরবর্তী পর্যায়ে হুমকি অভিনেতাদের দ্বারা প্রায়শই অপব্যবহার করা হয়।

স্থিতিস্থাপকতার জন্য তৈরি একটি হাইব্রিড নগদীকরণ মডেল

পিসিপিক্যাট ক্যাম্পেইনটি ক্লাউড অবকাঠামোর জন্য বিশেষভাবে তৈরি করা একটি সম্পূর্ণ আক্রমণ জীবনচক্র, স্ক্যানিং, শোষণ, স্থায়িত্ব, টানেলিং, ডেটা চুরি এবং নগদীকরণ প্রদর্শন করে। টিমপিসিপির প্রাথমিক বিপদ প্রযুক্তিগত উদ্ভাবনে নয়, বরং অপারেশনাল ইন্টিগ্রেশন এবং স্কেলে নিহিত। বেশিরভাগ শোষণ এবং ম্যালওয়্যার সুপরিচিত দুর্বলতা এবং হালকাভাবে পরিবর্তিত ওপেন-সোর্স টুলিং ব্যবহার করে।

একই সাথে, এই গোষ্ঠীটি অবকাঠামোগত অপব্যবহারকে তথ্য চুরি এবং চাঁদাবাজির সাথে মিশিয়ে দেয়। ফাঁস হওয়া সিভি ডাটাবেস, পরিচয় রেকর্ড এবং কর্পোরেট ডেটা শেলফোর্সের মাধ্যমে প্রকাশ করা হয় যাতে সাইবার অপরাধ বাস্তুতন্ত্রের মধ্যে র‍্যানসমওয়্যার অপারেশন, জালিয়াতি এবং খ্যাতি বৃদ্ধিতে ইন্ধন জোগায়। এই দ্বৈত নগদীকরণ কৌশল, কম্পিউটিং রিসোর্স এবং চুরি হওয়া তথ্য উভয় থেকে লাভবান হয়ে, একাধিক রাজস্ব প্রবাহ সরবরাহ করে এবং ব্যাঘাত এবং টেকডাউনের বিরুদ্ধে স্থিতিস্থাপকতা বৃদ্ধি করে।