TeamPCP-mato
Kyberturvallisuustutkijat ovat paljastaneet laajan, matovetoisen kampanjan, joka kohdistaa hyökkäyksensä järjestelmällisesti pilvinatiiveihin ympäristöihin rakentaakseen haitallista infrastruktuuria myöhempää hyödyntämistä varten. Tähän operaatioon liittyvää toimintaa havaittiin noin 25. joulukuuta 2025, ja se paljasti koordinoidun yrityksen väärinkäyttää alttiita palveluita ja haavoittuvuuksia nykyaikaisissa pilvipalveluissa.
Sisällysluettelo
TeamPCP: Nopeasti kehittyvä uhkaklusteri
Kampanja on yhdistetty uhkaryppääseen, jota seurataan nimellä TeamPCP, joka tunnetaan myös aliaksilla, kuten DeadCatx3, PCPcat, PersyPCP ja ShellForce. Todisteet viittaavat siihen, että ryhmä on ollut toiminnassa ainakin marraskuusta 2025 lähtien, ja siihen liittyvää Telegram-toimintaa on tapahtunut 30. heinäkuuta 2025 lähtien. TeamPCP:n Telegram-kanava, jolla on nyt yli 700 jäsentä, julkaisee varastettuja tietoja, jotka liittyvät uhreihin Kanadassa, Serbiassa, Etelä-Koreassa, Yhdistyneissä arabiemiirikunnissa ja Yhdysvalloissa.
Tutkijat dokumentoivat näyttelijän toiminnan ensimmäisen kerran joulukuussa 2025 nimityksellä Operation PCPcat.
Pilvinatiivien heikkouksien opportunistinen väärinkäyttö
TeamPCP toimii pilvinatiivina kyberrikollisuuden torjunta-alustana, joka hyödyntää paljastuneita hallintaliittymiä, yleisiä virheellisiä määritysvirheitä ja kriittisiä haavoittuvuuksia, mukaan lukien äskettäin paljastettu React2Shell-virhe (CVE-2025-55182, CVSS 10.0). Kampanjassa havaittuja tärkeimpiä tartuntareittejä ovat:
Haavoittuvaisia Docker-rajapintoja, Kubernetes-rajapintoja, Ray-kojelaudoita, Redis-palvelimia ja haavoittuvia React/Next.js-sovelluksia
Näitä heikkouksia ei hyödynnetä tiettyjen toimialojen torjumiseksi, vaan infrastruktuurin opportunistiseen valtaamiseen, useimmiten Amazon Web Services- ja Microsoft Azure -ympäristöissä, jolloin kyseiset organisaatiot muuttuvat sivuuhreiksi.
Teollistunut hyödyntäminen mittakaavassa
Uusien tekniikoiden sijaan TeamPCP painottaa skaalautuvuutta ja automaatiota. Toiminta yhdistää vakiintuneita työkaluja, tunnettuja haavoittuvuuksia ja laajalti dokumentoituja virheellisiä konfiguraatioita hyväksikäytön teollistamiseksi. Vaarantuneet ympäristöt muutetaan itseään leviäväksi rikolliseksi ekosysteemiksi, joka tukee skannausta, sivuttaisliikettä, pysyvyyttä ja rahaksi muuttamista.
Yleisiin tavoitteisiin kuuluvat hajautetun välityspalvelimen ja skannausinfrastruktuurin rakentaminen, tiedon vuotaminen, kiristysohjelmien käyttöönotto, kiristyskampanjoiden toteuttaminen ja kryptovaluutan louhinta. Vaaranneita resursseja käytetään myös uudelleen datan ylläpitoon, välityspalveluihin ja komento- ja hallintajärjestelmiin.
Modulaariset hyötykuormat ja pilvitietoiset työkalut
Onnistunut alkukäyttö mahdollistaa toissijaisten hyötykuormien toimittamisen ulkoisilta palvelimilta, tyypillisesti shell- tai Python-muodossa, tarkoituksena laajentaa kampanjan ulottuvuutta. Keskuskomponentti, proxy.sh, asentaa välityspalvelimen, vertaisverkon ja tunnelointityökalut samalla kun se ottaa käyttöön skannereita, jotka jatkuvasti luotaavat internetiä uusien haavoittuvien kohteiden varalta.
Merkillepantavaa on, että proxy.sh suorittaa ajonaikaisen ympäristön sormenjälkien tunnistuksen määrittääkseen, suoritetaanko sitä Kubernetes-klusterin sisällä. Kun tällainen ympäristö havaitaan, komentosarja seuraa erillistä suorituspolkua ja ottaa käyttöön klusterikohtaisia hyötykuormia, mikä korostaa ryhmän räätälöityä lähestymistapaa pilvinatiiveihin kohteisiin.
Tukevien hyötykuormien osajoukko sisältää:
- scanner.py, joka lataa CIDR-alueita DeadCatx3:een liitetyltä GitHub-tililtä väärin määritettyjen Docker-APIen ja Ray-kojelmien paikantamiseksi, ja tarjoaa valinnaisen kryptovaluutan louhinnan mine.sh:n kautta.
- kube.py, joka keskittyy Kubernetes-tunnistetietojen keräämiseen, podien ja nimiavaruuksien API-pohjaiseen löytämiseen, levittämiseen saavutettavien podien kautta ja pysyvyyteen kullekin solmulle asennettujen etuoikeutettujen podien kautta
- react.py, joka hyödyntää Reactin haavoittuvuutta (CVE-2025-29927) etäkomentojen suorittamiseen laajamittaisesti
- pcpcat.py, joka skannaa laajoja IP-alueita paljastuneiden Docker-rajapintojen ja Ray-kojelaudan varalta ja ottaa käyttöön haitallisia säilöjä tai töitä, jotka suorittavat Base64-koodattuja hyötykuormia
Komento- ja valvonta sekä hyväksikäytön jälkeiset valmiudet
Tutkijat ovat linkittäneet operaatioon komento- ja hallintasolmun osoitteessa 67.217.57[.]240 ja havainneet päällekkäisyyksiä Sliverin käytön kanssa. Sliver on laillinen avoimen lähdekoodin C2-kehys, jota uhkatoimijat usein väärinkäyttävät hyökkäysten jälkeisissä vaiheissa.
Hybridi-monetisointimalli, joka on rakennettu kestävyyttä varten
PCPcat-kampanja esittelee hyökkäyksen täydellisen elinkaaren, skannauksen, hyväksikäytön, pysyvyyden, tunneloinnin, tietovarkaudet ja rahaksi muuttamisen, joka on suunniteltu erityisesti pilvi-infrastruktuuria varten. TeamPCP:n ensisijainen vaara ei ole tekninen innovaatio, vaan operatiivinen integraatio ja skaalautuvuus. Useimmat hyväksikäytöt ja haittaohjelmat hyödyntävät tunnettuja haavoittuvuuksia ja kevyesti muokattuja avoimen lähdekoodin työkaluja.
Samaan aikaan ryhmä yhdistää infrastruktuurin väärinkäytön tietovarkauksiin ja kiristykseen. Vuodettuja CV-tietokantoja, henkilöllisyystietoja ja yritystietoja julkaistaan ShellForcen kautta kiristyshaittaohjelmien, petosten ja maineen rakentamisen edistämiseksi kyberrikollisuuden ekosysteemissä. Tämä kaksoisrahoitusstrategia, jossa hyötytään sekä laskentaresursseista että varastetuista tiedoista, tarjoaa useita tulonlähteitä ja lisää kestävyyttä häiriöitä ja poistoja vastaan.
