TeamPCP Worm

Investigadors de ciberseguretat han descobert una campanya generalitzada, impulsada per cucs, que ataca sistemàticament entorns nadius del núvol per construir una infraestructura maliciosa per a la seva posterior explotació. L'activitat relacionada amb aquesta operació es va observar al voltant del 25 de desembre de 2025, cosa que revela un esforç coordinat per abusar dels serveis i vulnerabilitats exposats a les piles de núvol modernes.

TeamPCP: Un grup d’amenaces en ràpida expansió

La campanya s'ha atribuït a un clúster d'amenaces rastrejat com a TeamPCP, també conegut per àlies com DeadCatx3, PCPcat, PersyPCP i ShellForce. L'evidència suggereix que el grup ha estat operatiu des d'almenys el novembre del 2025, amb activitat relacionada a Telegram que es remunta al 30 de juliol de 2025. El canal de Telegram de TeamPCP, que ha crescut fins a més de 700 membres, s'utilitza per publicar dades robades vinculades a víctimes al Canadà, Sèrbia, Corea del Sud, els Emirats Àrabs Units i els Estats Units.

Els investigadors van documentar per primera vegada les operacions de l'actor el desembre de 2025 sota la designació Operació PCPcat.

Abús oportunista de les debilitats natives del núvol

TeamPCP opera com una plataforma de ciberdelinqüència nativa del núvol, aprofitant les interfícies de gestió exposades, les configuracions incorrectes comunes i les vulnerabilitats crítiques, inclosa la falla React2Shell recentment revelada (CVE-2025-55182, CVSS 10.0). Les principals vies d'infecció observades a la campanya inclouen:

API de Docker exposades, API de Kubernetes, quadres de comandament de Ray, servidors Redis i aplicacions React/Next.js vulnerables

Aquestes debilitats no s'exploten per atacar indústries específiques, sinó per apoderar-se oportunistament de la infraestructura, més freqüentment dins dels entorns d'Amazon Web Services i Microsoft Azure, convertint les organitzacions afectades en víctimes col·laterals.

Explotació industrialitzada a escala

En lloc de confiar en tècniques innovadores, TeamPCP posa èmfasi en l'escalabilitat i l'automatització. L'operació combina eines establertes, vulnerabilitats conegudes i configuracions incorrectes àmpliament documentades per industrialitzar l'explotació. Els entorns compromesos es transformen en un ecosistema criminal autopropagant que admet l'escaneig, el moviment lateral, la persistència i la monetització.

Els objectius generals inclouen la construcció d'una infraestructura distribuïda de proxy i escaneig, l'exfiltració de dades, el desplegament de ransomware, la realització de campanyes d'extorsió i la mineria de criptomonedes. Els actius compromesos també es reutilitzen per a l'allotjament de dades, serveis de proxy i relés de comandament i control.

Càrregues útils modulars i eines compatibles amb el núvol

Un accés inicial correcte permet el lliurament de càrregues útils secundàries des de servidors externs, normalment en format shell o Python, dissenyades per ampliar l'abast de la campanya. Un component central, proxy.sh, instal·la utilitats de proxy, peer-to-peer i túnels mentre implementa escàners que sondegen contínuament Internet a la recerca de nous objectius vulnerables.

Cal destacar que proxy.sh realitza una empremta digital de l'entorn d'execució per determinar si s'està executant dins d'un clúster de Kubernetes. Quan es detecta un entorn d'aquest tipus, l'script segueix una ruta d'execució independent i implementa càrregues útils específiques del clúster, cosa que subratlla l'enfocament personalitzat del grup per als objectius natius del núvol.

Un subconjunt de les càrregues útils de suport inclou:

• scanner.py, que descarrega rangs CIDR des d'un compte de GitHub associat amb DeadCatx3 per localitzar API de Docker i quadres de comandament de Ray mal configurats, amb mineria de criptomoneda opcional a través de mine.sh
• kube.py, que se centra en la recol·lecció de credencials de Kubernetes, el descobriment basat en API de pods i espais de noms, la propagació a través de pods accessibles i la persistència a través de pods privilegiats muntats a cada node.
• react.py, que explota una vulnerabilitat de React (CVE-2025-29927) per aconseguir l'execució remota d'ordres a escala
• pcpcat.py, que escaneja grans rangs d'IP per a API de Docker i quadres de comandament de Ray exposats i implementa contenidors o treballs maliciosos que executen càrregues útils codificades en Base64.

Capacitats de comandament i control i postexplotació

Els investigadors han vinculat un node de comandament i control a 67.217.57[.]240 a l'operació, observant solapaments amb l'ús de Sliver, un marc de treball C2 de codi obert legítim que sovint utilitzen els actors d'amenaces durant les fases posteriors a l'explotació.

Un model de monetització híbrid dissenyat per a la resiliència

La campanya PCPcat demostra un cicle de vida d'atac complet, escaneig, explotació, persistència, tunelització, robatori de dades i monetització, dissenyat específicament per a la infraestructura al núvol. El perill principal que planteja TeamPCP no rau en la innovació tècnica, sinó en la integració operativa i l'escalabilitat. La majoria d'explotacions i programari maliciós aprofiten vulnerabilitats conegudes i eines de codi obert lleugerament modificades.

Alhora, el grup combina l'abús d'infraestructures amb el robatori de dades i l'extorsió. Bases de dades de currículums filtrats, registres d'identitat i dades corporatives es publiquen a través de ShellForce per alimentar operacions de ransomware, frau i construcció de reputació dins de l'ecosistema de ciberdelinqüència. Aquesta estratègia de doble monetització, que aprofita tant els recursos informàtics com la informació robada, proporciona múltiples fluxos d'ingressos i augmenta la resiliència contra les interrupcions i les retirades de sistemes.