TeamPCP Worm
Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια εκτεταμένη, καθοδηγούμενη από σκουλήκια εκστρατεία που στοχεύει συστηματικά σε περιβάλλοντα cloud-native για την κατασκευή κακόβουλης υποδομής για επακόλουθη εκμετάλλευση. Δραστηριότητα που σχετίζεται με αυτήν την επιχείρηση παρατηρήθηκε γύρω στις 25 Δεκεμβρίου 2025, αποκαλύπτοντας μια συντονισμένη προσπάθεια κατάχρησης εκτεθειμένων υπηρεσιών και ευπαθειών σε σύγχρονα cloud stacks.
Πίνακας περιεχομένων
TeamPCP: Μια ταχέως αναδυόμενη συστάδα απειλών
Η καμπάνια έχει αποδοθεί σε ένα σύμπλεγμα απειλών που παρακολουθείται ως TeamPCP, γνωστό και με ψευδώνυμα όπως DeadCatx3, PCPcat, PersyPCP και ShellForce. Τα στοιχεία υποδηλώνουν ότι η ομάδα λειτουργεί τουλάχιστον από τον Νοέμβριο του 2025, με σχετική δραστηριότητα στο Telegram να χρονολογείται από τις 30 Ιουλίου 2025. Το κανάλι TeamPCP Telegram, το οποίο έχει αυξηθεί σε περισσότερα από 700 μέλη, χρησιμοποιείται για τη δημοσίευση κλεμμένων δεδομένων που συνδέονται με θύματα στον Καναδά, τη Σερβία, τη Νότια Κορέα, τα Ηνωμένα Αραβικά Εμιράτα και τις Ηνωμένες Πολιτείες.
Οι ερευνητές κατέγραψαν για πρώτη φορά τις επιχειρήσεις του δράστη τον Δεκέμβριο του 2025 με την ονομασία Operation PCPcat.
Ευκαιριακή Κατάχρηση Αδυναμιών του Cloud-Native
Το TeamPCP λειτουργεί ως μια cloud-native πλατφόρμα κυβερνοεγκλήματος, αξιοποιώντας τις εκτεθειμένες διεπαφές διαχείρισης, τις συνήθεις λανθασμένες ρυθμίσεις και τα κρίσιμα τρωτά σημεία, συμπεριλαμβανομένου του πρόσφατα αποκαλυφθέντος ελαττώματος React2Shell (CVE-2025-55182, CVSS 10.0). Οι κύριες οδοί μόλυνσης που παρατηρήθηκαν στην καμπάνια περιλαμβάνουν:
Εκτεθειμένα API Docker, API Kubernetes, πίνακες ελέγχου Ray, διακομιστές Redis και ευάλωτες εφαρμογές React/Next.js
Αυτές οι αδυναμίες δεν αξιοποιούνται για να στοχεύσουν συγκεκριμένους κλάδους, αλλά για να κατασχεθούν ευκαιριακά υποδομές, συχνότερα εντός των περιβαλλόντων Amazon Web Services και Microsoft Azure, μετατρέποντας τους επηρεαζόμενους οργανισμούς σε παράπλευρα θύματα.
Βιομηχανοποιημένη Εκμετάλλευση σε Κλίμακα
Αντί να βασίζεται σε νέες τεχνικές, η TeamPCP δίνει έμφαση στην κλίμακα και τον αυτοματισμό. Η επιχείρηση συνδυάζει καθιερωμένα εργαλεία, γνωστά τρωτά σημεία και ευρέως τεκμηριωμένες λανθασμένες διαμορφώσεις για τη βιομηχανοποίηση της εκμετάλλευσης. Τα παραβιασμένα περιβάλλοντα μετατρέπονται σε ένα αυτοδιαδιδόμενο εγκληματικό οικοσύστημα που υποστηρίζει τη σάρωση, την πλευρική κίνηση, την επιμονή και τη δημιουργία εσόδων.
Οι γενικοί στόχοι περιλαμβάνουν την κατασκευή κατανεμημένων υποδομών proxy και σάρωσης, την εξαγωγή δεδομένων, την ανάπτυξη ransomware, τη διεξαγωγή εκστρατειών εκβιασμού και την εξόρυξη κρυπτονομισμάτων. Τα παραβιασμένα περιουσιακά στοιχεία επαναχρησιμοποιούνται επίσης για φιλοξενία δεδομένων, υπηρεσίες proxy και αναμεταδότες εντολών και ελέγχου.
Modular Payloads και Cloud-Aware Tooling
Η επιτυχής αρχική πρόσβαση επιτρέπει την παράδοση δευτερευόντων ωφέλιμων φορτίων από εξωτερικούς διακομιστές, συνήθως σε μορφή shell ή Python, σχεδιασμένα για να επεκτείνουν την εμβέλεια της καμπάνιας. Ένα κεντρικό στοιχείο, το proxy.sh, εγκαθιστά βοηθητικά προγράμματα proxy, peer-to-peer και tunneling, ενώ παράλληλα αναπτύσσει σαρωτές που διερευνούν συνεχώς το διαδίκτυο για νέους ευάλωτους στόχους.
Αξίζει να σημειωθεί ότι το proxy.sh εκτελεί αποτύπωμα σε περιβάλλον εκτέλεσης για να προσδιορίσει εάν εκτελείται μέσα σε ένα σύμπλεγμα Kubernetes. Όταν εντοπιστεί ένα τέτοιο περιβάλλον, το σενάριο ακολουθεί μια ξεχωριστή διαδρομή εκτέλεσης και αναπτύσσει ωφέλιμα φορτία ειδικά για το σύμπλεγμα, υπογραμμίζοντας την προσαρμοσμένη προσέγγιση της ομάδας σε στόχους που βασίζονται στο cloud.
Ένα υποσύνολο των υποστηρικτικών ωφέλιμων φορτίων περιλαμβάνει:
- scanner.py, το οποίο κατεβάζει εύρη CIDR από έναν λογαριασμό GitHub που σχετίζεται με το DeadCatx3 για να εντοπίσει λανθασμένα διαμορφωμένα API Docker και πίνακες ελέγχου Ray, με προαιρετική εξόρυξη κρυπτονομισμάτων μέσω του mine.sh.
- kube.py, το οποίο εστιάζει στη συλλογή διαπιστευτηρίων Kubernetes, στην ανακάλυψη pods και ονομάτων μέσω API, στη διάδοση μέσω προσβάσιμων pods και στη διατήρηση μέσω προνομιούχων pods που είναι τοποθετημένα σε κάθε κόμβο.
- react.py, το οποίο εκμεταλλεύεται μια ευπάθεια React (CVE-2025-29927) για να επιτύχει απομακρυσμένη εκτέλεση εντολών σε μεγάλη κλίμακα.
- pcpcat.py, το οποίο σαρώνει μεγάλα εύρη IP για εκτεθειμένα Docker API και πίνακες ελέγχου Ray και αναπτύσσει κακόβουλα κοντέινερ ή εργασίες που εκτελούν ωφέλιμα φορτία με κωδικοποίηση Base64.
Δυνατότητες Διοίκησης και Ελέγχου και Μετά την Εκμετάλλευση
Οι ερευνητές έχουν συνδέσει έναν κόμβο εντολών και ελέγχου στη διεύθυνση 67.217.57[.]240 με την επιχείρηση, σημειώνοντας επικαλύψεις με τη χρήση του Sliver, ενός νόμιμου πλαισίου C2 ανοιχτού κώδικα που συχνά καταχρώνται οι απειλητικοί παράγοντες κατά τις φάσεις μετά την εκμετάλλευση.
Ένα υβριδικό μοντέλο δημιουργίας εσόδων χτισμένο για ανθεκτικότητα
Η καμπάνια PCPcat επιδεικνύει έναν πλήρη κύκλο ζωής επίθεσης, σάρωσης, εκμετάλλευσης, επιμονής, διοχέτευσης, κλοπής δεδομένων και δημιουργίας εσόδων, σχεδιασμένο ειδικά για υποδομή cloud. Ο κύριος κίνδυνος που θέτει το TeamPCP δεν έγκειται στην τεχνική καινοτομία, αλλά στην επιχειρησιακή ολοκλήρωση και κλίμακα. Τα περισσότερα exploits και κακόβουλο λογισμικό αξιοποιούν γνωστά τρωτά σημεία και ελαφρώς τροποποιημένα εργαλεία ανοιχτού κώδικα.
Ταυτόχρονα, η ομάδα συνδυάζει την κατάχρηση υποδομών με κλοπή δεδομένων και εκβιασμό. Διαρροές βάσεων δεδομένων βιογραφικών, αρχεία ταυτότητας και εταιρικά δεδομένα δημοσιεύονται μέσω της ShellForce για να τροφοδοτήσουν επιχειρήσεις ransomware, απάτες και οικοδόμηση φήμης εντός του οικοσυστήματος του κυβερνοεγκλήματος. Αυτή η διπλή στρατηγική δημιουργίας εσόδων, που επωφελείται τόσο από υπολογιστικούς πόρους όσο και από κλεμμένες πληροφορίες, παρέχει πολλαπλές ροές εσόδων και αυξάνει την ανθεκτικότητα έναντι διαταραχών και καταργήσεων.
