Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) Červ TeamPCP

Červ TeamPCP

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware, Červi
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili rozsáhlou kampaň řízenou červy, která systematicky cílí na cloudová prostředí s cílem vybudovat škodlivou infrastrukturu pro následné zneužití. Aktivita spojená s touto operací byla pozorována kolem 25. prosince 2025 a odhaluje koordinované úsilí o zneužití exponovaných služeb a zranitelností v moderních cloudových systémech.

TeamPCP: Rychle se rozvíjející klastr hrozeb

Kampaň byla připsána skupině hrozeb sledované jako TeamPCP, známé také pod přezdívkami DeadCatx3, PCPcat, PersyPCP a ShellForce. Důkazy naznačují, že skupina funguje nejméně od listopadu 2025, přičemž související aktivita v Telegramu sahá až do 30. července 2025. Telegramový kanál TeamPCP, který se rozrostl na více než 700 členů, se používá k zveřejňování ukradených dat spojených s oběťmi v Kanadě, Srbsku, Jižní Koreji, Spojených arabských emirátech a Spojených státech.

Výzkumníci poprvé zdokumentovali operace herce v prosinci 2025 pod označením Operace PCPcat.

Oportunistické zneužívání slabin cloudových technologií

TeamPCP funguje jako cloudová platforma pro boj s kyberkriminalitou a využívá odhalená rozhraní pro správu, běžné chyby v konfiguraci a kritické zranitelnosti, včetně nedávno odhalené chyby React2Shell (CVE-2025-55182, CVSS 10.0). Mezi primární cesty infekce pozorované v kampani patří:

Odhalená Docker API, Kubernetes API, Ray dashboardy, Redis servery a zranitelné aplikace React/Next.js

Tyto slabiny nejsou zneužívány k cílení na konkrétní odvětví, ale k oportunistickému zmocnění se infrastruktury, nejčastěji v prostředích Amazon Web Services a Microsoft Azure, čímž se postižené organizace stávají vedlejšími oběťmi.

Industrializované využívání ve velkém měřítku

Spíše než spoléhání se na nové techniky klade TeamPCP důraz na škálovatelnost a automatizaci. Operace kombinuje zavedené nástroje, známé zranitelnosti a široce zdokumentované chybné konfigurace s cílem industrializovat zneužívání. Napadená prostředí se transformují do samovolně se množícího zločineckého ekosystému, který podporuje skenování, laterální pohyb, perzistenci a monetizaci.

Mezi hlavní cíle patří budování distribuované proxy a skenovací infrastruktury, exfiltrace dat, nasazení ransomwaru, provádění vydírání a těžba kryptoměn. Napadená aktiva jsou také znovu využita pro hostování dat, proxy služby a relé velení a řízení.

Modulární datové části a cloudově orientované nástroje

Úspěšný počáteční přístup umožňuje doručování sekundárních dat z externích serverů, obvykle ve formě shellu nebo Pythonu, určených k rozšíření dosahu kampaně. Centrální komponenta proxy.sh instaluje proxy, peer-to-peer a tunelovací nástroje a zároveň nasazuje skenery, které neustále prohledávají internet a hledají nové zranitelné cíle.

Je pozoruhodné, že proxy.sh provádí otisky prstů v běhovém prostředí, aby zjistil, zda se spouští uvnitř clusteru Kubernetes. Když je takové prostředí detekováno, skript se řídí samostatnou cestou spuštění a nasazuje datové části specifické pro cluster, což podtrhuje přizpůsobený přístup skupiny k cloudově nativním cílům.

Podmnožina podpůrných datových částí zahrnuje:

  • scanner.py, který stahuje rozsahy CIDR z účtu GitHub spojeného s DeadCatx3 a vyhledává chybně nakonfigurovaná Docker API a Ray dashboardy, s volitelnou těžbou kryptoměn přes mine.sh
  • kube.py, který se zaměřuje na sběr přihlašovacích údajů Kubernetes, vyhledávání podů a jmenných prostorů založené na API, šíření prostřednictvím přístupných podů a perzistence prostřednictvím privilegovaných podů připojených na každém uzlu.
  • react.py, který zneužívá zranitelnost Reactu (CVE-2025-29927) k dosažení vzdáleného provádění příkazů ve velkém měřítku.
  • pcpcat.py, který prohledává velké rozsahy IP adres a hledá odhalená rozhraní Docker API a dashboardy Ray a nasazuje škodlivé kontejnery nebo úlohy spouštějící datové části kódované v Base64.

Velitelské a kontrolní schopnosti a schopnosti po vykořisťování

Výzkumníci propojili s operací uzel velení a řízení na adrese 67.217.57[.]240 a zaznamenali překrývání s používáním Sliveru, legitimního open-source frameworku C2, který hackeri často zneužívají v post-exploitačních fázích.

Hybridní model monetizace vytvořený pro odolnost

Kampaň PCPcat demonstruje kompletní životní cyklus útoku, skenování, zneužití, perzistenci, tunelování, krádež dat a monetizaci, navržený speciálně pro cloudovou infrastrukturu. Hlavní nebezpečí, které představuje TeamPCP, nespočívá v technických inovacích, ale v provozní integraci a rozsahu. Většina exploitů a malwaru využívá dobře známé zranitelnosti a lehce upravené nástroje s otevřeným zdrojovým kódem.

Skupina zároveň kombinuje zneužívání infrastruktury s krádeží dat a vydíráním. Uniklé databáze životopisů, záznamy o identitě a firemní data jsou zveřejňovány prostřednictvím ShellForce za účelem podpory operací s ransomwarem, podvodů a budování reputace v ekosystému kybernetické kriminality. Tato strategie dvojí monetizace, která profituje jak z výpočetních zdrojů, tak z odcizených informací, poskytuje více zdrojů příjmů a zvyšuje odolnost vůči narušení a zastavení činnosti.

Trendy

Podvod s chybným ověřením poštovního serveru IMAP/POP3

Phishing, Spam
V dnešním digitálním prostředí plném hrozeb je nezbytné zůstat ostražitý při řešení neočekávaných nebo alarmujících e-mailů. Kyberzločinci se často vydávají za poskytovatele služeb, aby vytvořili falešný pocit naléhavosti a tlačili na příjemce, aby činili ukvapená rozhodnutí. Jedním z nedávných příkladů je podvod typu IMAP/POP3 Mail Server Verification Failure Scam, což je phishingová kampaň,...

Nejvíce shlédnuto

Načítání...