תולעת TeamPCP

חוקרי אבטחת סייבר חשפו קמפיין נרחב, המונע על ידי תולעים, המכוון באופן שיטתי לסביבות ענן מקוריות כדי לבנות תשתית זדונית לניצול עתידי. פעילות הקשורה לפעולה זו נצפתה בסביבות ה-25 בדצמבר 2025, וחשפה מאמץ מתואם לנצל לרעה שירותים ופגיעויות חשופות במערכות ענן מודרניות.

TeamPCP: אשכול איומים מתפתח במהירות

הקמפיין יוחס לאשכול איומים שעוקב אחר TeamPCP, הידוע גם בכינויים הכוללים DeadCatx3, PCPcat, PersyPCP ו-ShellForce. ראיות מצביעות על כך שהקבוצה פעילה לפחות מנובמבר 2025, עם פעילות קשורה בטלגרם החל מ-30 ביולי 2025. ערוץ הטלגרם TeamPCP, שגדל ליותר מ-700 חברים, משמש לפרסום נתונים גנובים המקושרים לקורבנות בקנדה, סרביה, דרום קוריאה, איחוד האמירויות הערביות וארצות הברית.

חוקרים תיעדו לראשונה את פעולותיו של השחקן בדצמבר 2025 תחת הכינוי "מבצע PCPcat".

ניצול לרעה אופורטוניסטי של חולשות ענן מקוריות

TeamPCP פועלת כפלטפורמת פשעי סייבר מבוססת ענן, תוך ניצול ממשקי ניהול חשופים, שגיאות תצורה נפוצות ופגיעויות קריטיות, כולל הפגם שנחשף לאחרונה ב-React2Shell (CVE-2025-55182, CVSS 10.0). נתיבי ההדבקה העיקריים שנצפו בקמפיין כוללים:

חשיפות של ממשקי API של Docker, ממשקי API של Kubernetes, לוחות מחוונים של Ray, שרתי Redis ויישומי React/Next.js פגיעים

חולשות אלו מנוצלות לא כדי להתמקד בתעשיות ספציפיות, אלא כדי לתפוס באופן אופורטוניסטי תשתיות, לרוב בסביבות Amazon Web Services ו-Microsoft Azure, מה שהופך ארגונים שנפגעו לקורבנות נלווים.

ניצול מתועש בקנה מידה גדול

במקום להסתמך על טכניקות חדשות, TeamPCP מדגיש קנה מידה ואוטומציה. הפעולה משלבת כלים מבוססים, פגיעויות ידועות ותצורות שגויות מתועדות באופן נרחב כדי לתיעש את הניצול. סביבות פרוצות הופכות למערכת אקולוגית פלילית מתפשטת מעצמה התומכת בסריקה, תנועה רוחבית, התמדה ומונטיזציה.

המטרות הכוללות כוללות בניית תשתית פרוקסי וסריקה מבוזרת, חילוץ נתונים, פריסת תוכנות כופר, ניהול קמפיינים של סחיטה וכריית מטבעות קריפטוגרפיים. נכסים שנפגעו משמשים גם הם לאירוח נתונים, שירותי פרוקסי וממסרי פיקוד ובקרה.

מטענים מודולריים וכלים תואמי ענן

גישה ראשונית מוצלחת מאפשרת מסירה של מטענים משניים משרתים חיצוניים, בדרך כלל בצורת מעטפת או פייתון, שנועדו להרחיב את טווח ההגעה של הקמפיין. רכיב מרכזי, proxy.sh, מתקין כלי עבודה של פרוקסי, עמית לעמית ומנהור תוך פריסת סורקים הסורקים באופן רציף את האינטרנט אחר מטרות פגיעות חדשות.

ראוי לציין ש-proxy.sh מבצע טביעות אצבעות של סביבת זמן ריצה כדי לקבוע אם הוא פועל בתוך אשכול Kubernetes. כאשר סביבה כזו מזוהה, הסקריפט עוקב אחר נתיב ביצוע נפרד ופורס מטענים ספציפיים לאשכול, מה שמדגיש את הגישה המותאמת אישית של הקבוצה למטרות ענן מקוריות.

תת-קבוצה של המטענים התומכים כוללת:

• scanner.py, אשר מוריד טווחי CIDR מחשבון GitHub המשויך ל-DeadCatx3 כדי לאתר ממשקי API של Docker ולוחות מחוונים של Ray שתצורתם שגוי, עם כריית קריפטוגרפיה אופציונלית דרך mine.sh
• kube.py, המתמקד באיסוף אישורים של Kubernetes, גילוי מבוסס API של פודים ומרחבי שמות, הפצה דרך פודים נגישים, והתמדה באמצעות פודים פריבילגיים המותקנים על כל צומת.
• react.py, אשר מנצל פגיעות ב-React (CVE-2025-29927) כדי להשיג ביצוע פקודות מרחוק בקנה מידה גדול
• pcpcat.py, אשר סורק טווחי IP גדולים עבור ממשקי API של Docker ולוחות מחוונים של Ray חשופים ופורס מכולות או משימות זדוניות המרצות מטענים מקודדים ב-Base64.

יכולות פיקוד ובקרה ויכולות לאחר ניצול

חוקרים קישרו צומת פיקוד ובקרה בכתובת 67.217.57[.]240 לפעולה, תוך ציון חפיפות עם השימוש ב-Sliver, מסגרת C2 לגיטימית בקוד פתוח, אשר מנוצלת לעתים קרובות לרעה על ידי גורמי איום בשלבים שלאחר הניצול.

מודל מונטיזציה היברידי שנבנה לחוסן

קמפיין PCPcat מדגים מחזור חיים מלא של התקפה, סריקה, ניצול נתונים, שמירה על תקיפות, מנהור נתונים, גניבת נתונים ומונטיזציה, שתוכננו במיוחד עבור תשתיות ענן. הסכנה העיקרית שמציב TeamPCP אינה טמונה בחדשנות טכנית, אלא באינטגרציה תפעולית ובקנה מידה. רוב הניצול הנפגעים והתוכנות הזדוניות ממנפות פגיעויות ידועות וכלים בקוד פתוח שעברו שינוי קל.

במקביל, הקבוצה משלבת ניצול לרעה של תשתית עם גניבת נתונים וסחיטה. מאגרי מידע של קורות חיים שדלפו, רישומי זהות ונתוני תאגידים מתפרסמים דרך ShellForce כדי להזין פעולות כופר, הונאה ובניית מוניטין בתוך המערכת האקולוגית של פשעי סייבר. אסטרטגיית מוניטיזציה כפולה זו, המרוויחה הן ממשאבי מחשוב והן ממידע גנוב, מספקת זרמי הכנסה מרובים ומגבירה את החוסן מפני שיבושים והסרות.