Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) TeamPCP-orm

TeamPCP-orm

Med Mezo i Advanced Persistent Threat (APT), Malware, Orme
Oversæt til:

Cybersikkerhedsforskere har afdækket en omfattende, ormedrevet kampagne, der systematisk målretter cloud-native miljøer for at konstruere ondsindet infrastruktur til efterfølgende udnyttelse. Aktivitet knyttet til denne operation blev observeret omkring 25. december 2025 og afslørede en koordineret indsats for at misbruge eksponerede tjenester og sårbarheder på tværs af moderne cloud-stacks.

TeamPCP: En hurtigt voksende trusselsklynge

Kampagnen er blevet tilskrevet en trusselsgruppe, der spores som TeamPCP, også kendt under aliaser som DeadCatx3, PCPcat, PersyPCP og ShellForce. Beviser tyder på, at gruppen har været operationel siden mindst november 2025, med relateret Telegram-aktivitet, der går tilbage til 30. juli 2025. TeamPCP Telegram-kanalen, som er vokset til mere end 700 medlemmer, bruges til at offentliggøre stjålne data knyttet til ofre i Canada, Serbien, Sydkorea, De Forenede Arabiske Emirater og USA.

Forskere dokumenterede først skuespillerens operationer i december 2025 under betegnelsen Operation PCPcat.

Opportunistisk misbrug af cloud-native svagheder

TeamPCP fungerer som en cloud-native platform til cyberkriminalitet, der udnytter eksponerede administrationsgrænseflader, almindelige fejlkonfigurationer og kritiske sårbarheder, herunder den nyligt afslørede React2Shell-fejl (CVE-2025-55182, CVSS 10.0). De primære infektionsveje, der blev observeret i kampagnen, omfatter:

Eksponerede Docker API'er, Kubernetes API'er, Ray dashboards, Redis-servere og sårbare React/Next.js-applikationer

Disse svagheder udnyttes ikke til at målrette specifikke brancher, men til opportunistisk at beslaglægge infrastruktur, oftest inden for Amazon Web Services og Microsoft Azure-miljøer, hvilket gør berørte organisationer til indirekte ofre.

Industrialiseret udnyttelse i stor skala

I stedet for at benytte nye teknikker lægger TeamPCP vægt på skalering og automatisering. Operationen kombinerer etablerede værktøjer, kendte sårbarheder og bredt dokumenterede fejlkonfigurationer for at industrialisere udnyttelse. Kompromitterede miljøer transformeres til et selvudbredende kriminelt økosystem, der understøtter scanning, lateral bevægelse, persistens og monetisering.

De overordnede mål omfatter opbygning af distribueret proxy- og scanningsinfrastruktur, eksfiltrering af data, implementering af ransomware, udførelse af afpresningskampagner og minedrift af kryptovaluta. Kompromitterede aktiver genanvendes også til datahosting, proxytjenester og kommando- og kontrolrelæer.

Modulære nyttelaster og cloud-bevidste værktøjer

Vellykket initial adgang muliggør levering af sekundære nyttelast fra eksterne servere, typisk i shell- eller Python-form, designet til at udvide kampagnens rækkevidde. En central komponent, proxy.sh, installerer proxy-, peer-to-peer- og tunneleringsværktøjer, mens den implementerer scannere, der løbende undersøger internettet for nye sårbare mål.

Det er værd at bemærke, at proxy.sh udfører fingeraftryk af runtime-miljøet for at bestemme, om det kører i en Kubernetes-klynge. Når et sådant miljø registreres, følger scriptet en separat udførelsessti og implementerer klyngespecifikke nyttelast, hvilket understreger gruppens skræddersyede tilgang til cloud-native mål.

En delmængde af de understøttende nyttelaster omfatter:

  • scanner.py, som downloader CIDR-intervaller fra en GitHub-konto tilknyttet DeadCatx3 for at finde forkert konfigurerede Docker API'er og Ray-dashboards, med valgfri kryptovaluta-mining via mine.sh
  • kube.py, som fokuserer på Kubernetes credential harvesting, API-baseret opdagelse af pods og namespaces, udbredelse gennem tilgængelige pods og persistens via privilegerede pods monteret på hver node
  • react.py, som udnytter en React-sårbarhed (CVE-2025-29927) til at udføre fjernkommandoer i stor skala
  • pcpcat.py, som scanner store IP-områder for eksponerede Docker API'er og Ray-dashboards og implementerer ondsindede containere eller job, der kører Base64-kodede nyttelast

Kommando- og kontrolfunktioner og efterudnyttelseskapaciteter

Forskere har knyttet en kommando-og-kontrol-node på 67.217.57[.]240 til operationen og bemærket overlapninger med brugen af Sliver, et legitimt open source C2-framework, der ofte misbruges af trusselsaktører i faserne efter udnyttelse.

En hybrid monetiseringsmodel bygget til robusthed

PCPcat-kampagnen demonstrerer en komplet angrebslivcyklus, scanning, udnyttelse, persistens, tunneling, datatyveri og monetisering, udviklet specifikt til cloud-infrastruktur. Den primære fare, som TeamPCP udgør, ligger ikke i teknisk innovation, men i operationel integration og skalering. De fleste angreb og malware udnytter velkendte sårbarheder og let modificerede open source-værktøjer.

Samtidig blander gruppen misbrug af infrastruktur med datatyveri og afpresning. Lækkede CV-databaser, identitetsregistre og virksomhedsdata offentliggøres via ShellForce for at fremme ransomware-operationer, svindel og omdømmeopbygning inden for cyberkriminalitetsøkosystemet. Denne dobbelte monetariseringsstrategi, der drager fordel af både computerressourcer og stjålne oplysninger, giver flere indtægtsstrømme og øger modstandsdygtigheden over for forstyrrelser og nedlukninger.

Trending

Mest sete

Indlæser...