TeamPCP Worm

साइबर सुरक्षा शोधकर्ताओं ने एक व्यापक, वर्म-आधारित अभियान का पर्दाफाश किया है जो व्यवस्थित रूप से क्लाउड-आधारित वातावरणों को लक्षित करके दुर्भावनापूर्ण बुनियादी ढांचा तैयार करता है ताकि बाद में उसका दुरुपयोग किया जा सके। इस अभियान से जुड़ी गतिविधि लगभग 25 दिसंबर, 2025 के आसपास देखी गई, जिससे आधुनिक क्लाउड स्टैक में उजागर सेवाओं और कमजोरियों का लाभ उठाने के समन्वित प्रयास का पता चलता है।

टीमपीसीपी: तेजी से उभरता एक खतरा समूह

इस अभियान का संबंध TeamPCP नामक एक खतरे के समूह से है, जिसे DeadCatx3, PCPcat, PersyPCP और ShellForce जैसे उपनामों से भी जाना जाता है। साक्ष्य बताते हैं कि यह समूह कम से कम नवंबर 2025 से सक्रिय है, और इससे संबंधित टेलीग्राम गतिविधियां 30 जुलाई 2025 से देखी जा सकती हैं। TeamPCP टेलीग्राम चैनल, जिसके सदस्यों की संख्या 700 से अधिक हो गई है, का उपयोग कनाडा, सर्बिया, दक्षिण कोरिया, संयुक्त अरब अमीरात और संयुक्त राज्य अमेरिका में पीड़ितों से जुड़े चोरी किए गए डेटा को प्रकाशित करने के लिए किया जाता है।

शोधकर्ताओं ने सबसे पहले दिसंबर 2025 में ऑपरेशन पीसीपीकैट के तहत इस अभिनेता की गतिविधियों का दस्तावेजीकरण किया था।

क्लाउड-नेटिव कमजोरियों का अवसरवादी दुरुपयोग

TeamPCP एक क्लाउड-आधारित साइबर अपराध प्लेटफॉर्म के रूप में काम करता है, जो उजागर प्रबंधन इंटरफेस, सामान्य गलत कॉन्फ़िगरेशन और गंभीर कमजोरियों का लाभ उठाता है, जिसमें हाल ही में सामने आई React2Shell खामी (CVE-2025-55182, CVSS 10.0) भी शामिल है। इस अभियान में देखे गए प्राथमिक संक्रमण मार्ग निम्नलिखित हैं:

डॉकर एपीआई, कुबेरनेट्स एपीआई, रे डैशबोर्ड, रेडिस सर्वर और असुरक्षित रिएक्ट/नेक्स्ट.जेएस एप्लिकेशन उजागर हो गए हैं।

इन कमजोरियों का फायदा उठाकर विशिष्ट उद्योगों को निशाना नहीं बनाया जाता, बल्कि अवसरवादी रूप से बुनियादी ढांचे पर कब्जा कर लिया जाता है, जो अक्सर अमेज़ॅन वेब सर्विसेज और माइक्रोसॉफ्ट एज़्योर के वातावरण में होता है, जिससे प्रभावित संगठन अप्रत्यक्ष शिकार बन जाते हैं।

बड़े पैमाने पर औद्योगीकृत शोषण

नई तकनीकों पर निर्भर रहने के बजाय, TeamPCP व्यापकता और स्वचालन पर ज़ोर देता है। यह ऑपरेशन स्थापित उपकरणों, ज्ञात कमज़ोरियों और व्यापक रूप से प्रलेखित गलत कॉन्फ़िगरेशन को मिलाकर शोषण को औद्योगिक स्तर पर संचालित करता है। असुरक्षित वातावरण एक स्व-प्रसारित आपराधिक पारिस्थितिकी तंत्र में परिवर्तित हो जाते हैं जो स्कैनिंग, पार्श्व गतिविधि, निरंतरता और मुद्रीकरण का समर्थन करता है।

इसके मुख्य उद्देश्यों में वितरित प्रॉक्सी और स्कैनिंग इंफ्रास्ट्रक्चर का निर्माण, डेटा की चोरी, रैंसमवेयर का प्रसार, जबरन वसूली अभियान चलाना और क्रिप्टोकरेंसी माइनिंग शामिल हैं। साथ ही, हैक की गई संपत्तियों का उपयोग डेटा होस्टिंग, प्रॉक्सी सेवाओं और कमांड-एंड-कंट्रोल रिले के लिए भी किया जाता है।

मॉड्यूलर पेलोड और क्लाउड-अवेयर टूलिंग

सफल प्रारंभिक पहुँच बाहरी सर्वरों से द्वितीयक पेलोड भेजने में सक्षम बनाती है, जो आमतौर पर शेल या पायथन प्रारूप में होते हैं और अभियान की पहुँच बढ़ाने के लिए डिज़ाइन किए गए होते हैं। एक केंद्रीय घटक, proxy.sh, प्रॉक्सी, पीयर-टू-पीयर और टनलिंग यूटिलिटीज़ स्थापित करता है, साथ ही स्कैनर तैनात करता है जो लगातार इंटरनेट पर नए कमजोर लक्ष्यों की खोज करते रहते हैं।

विशेष रूप से, proxy.sh रनटाइम वातावरण फिंगरप्रिंटिंग का उपयोग करके यह निर्धारित करता है कि क्या यह Kubernetes क्लस्टर के भीतर चल रहा है। जब ऐसा वातावरण पाया जाता है, तो स्क्रिप्ट एक अलग निष्पादन पथ का अनुसरण करती है और क्लस्टर-विशिष्ट पेलोड तैनात करती है, जो क्लाउड-नेटिव लक्ष्यों के लिए समूह के अनुकूलित दृष्टिकोण को रेखांकित करता है।

सहायक पेलोड के एक उपसमूह में निम्नलिखित शामिल हैं:

• scanner.py, जो DeadCatx3 से जुड़े GitHub खाते से CIDR रेंज डाउनलोड करता है, का उपयोग गलत तरीके से कॉन्फ़िगर किए गए Docker API और Ray डैशबोर्ड का पता लगाने के लिए किया जाता है, साथ ही mine.sh के माध्यम से वैकल्पिक क्रिप्टोकरेंसी माइनिंग की सुविधा भी उपलब्ध है।
• kube.py, जो Kubernetes क्रेडेंशियल हार्वेस्टिंग, API-आधारित पॉड्स और नेमस्पेस की खोज, सुलभ पॉड्स के माध्यम से प्रसार और प्रत्येक नोड पर माउंट किए गए विशेषाधिकार प्राप्त पॉड्स के माध्यम से निरंतरता पर केंद्रित है।
• react.py, जो रिएक्ट की एक भेद्यता (CVE-2025-29927) का फायदा उठाकर बड़े पैमाने पर रिमोट कमांड निष्पादन को अंजाम देता है।
• pcpcat.py, जो उजागर डॉकर एपीआई और रे डैशबोर्ड के लिए आईपी की बड़ी श्रेणियों को स्कैन करता है और बेस64-एन्कोडेड पेलोड चलाने वाले दुर्भावनापूर्ण कंटेनर या जॉब तैनात करता है।

कमांड-एंड-कंट्रोल और पोस्ट-एक्सप्लॉयटेशन क्षमताएं

शोधकर्ताओं ने 67.217.57[.]240 पर स्थित एक कमांड-एंड-कंट्रोल नोड को इस ऑपरेशन से जोड़ा है, और स्लाइवर के उपयोग के साथ ओवरलैप को नोट किया है, जो एक वैध ओपन-सोर्स सी2 फ्रेमवर्क है जिसका दुरुपयोग अक्सर खतरे पैदा करने वाले तत्वों द्वारा शोषण के बाद के चरणों के दौरान किया जाता है।

लचीलेपन के लिए निर्मित एक हाइब्रिड मुद्रीकरण मॉडल

PCPcat अभियान क्लाउड इन्फ्रास्ट्रक्चर के लिए विशेष रूप से तैयार किए गए संपूर्ण हमले के चक्र को दर्शाता है, जिसमें स्कैनिंग, शोषण, निरंतरता, टनलिंग, डेटा चोरी और मुद्रीकरण शामिल हैं। TeamPCP से उत्पन्न प्राथमिक खतरा तकनीकी नवाचार में नहीं, बल्कि परिचालन एकीकरण और पैमाने में निहित है। अधिकांश एक्सप्लॉइट और मैलवेयर ज्ञात कमजोरियों और थोड़े संशोधित ओपन-सोर्स टूलिंग का लाभ उठाते हैं।

साथ ही, यह समूह बुनियादी ढांचे के दुरुपयोग को डेटा चोरी और जबरन वसूली के साथ मिलाता है। लीक हुए सीवी डेटाबेस, पहचान रिकॉर्ड और कॉर्पोरेट डेटा को शेलफोर्स के माध्यम से प्रकाशित किया जाता है ताकि रैंसमवेयर ऑपरेशन, धोखाधड़ी और साइबर अपराध तंत्र में प्रतिष्ठा निर्माण को बढ़ावा दिया जा सके। कंप्यूटिंग संसाधनों और चोरी की गई जानकारी दोनों से लाभ कमाने की यह दोहरी रणनीति कई राजस्व स्रोत प्रदान करती है और व्यवधानों और हमलों के खिलाफ लचीलापन बढ़ाती है।