Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) TeamPCP crv

TeamPCP crv

Do Mezo. Napredna trajna prijetnja (APT), Malware, Crvi. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su sveobuhvatnu kampanju vođenu crvima koja sustavno cilja na okruženja u oblaku kako bi izgradila zlonamjernu infrastrukturu za naknadnu eksploataciju. Aktivnost povezana s ovom operacijom uočena je oko 25. prosinca 2025., otkrivajući koordinirani napor zlouporabe izloženih usluga i ranjivosti u modernim cloud platformama.

TeamPCP: Brzo rastući klaster prijetnji

Kampanja se pripisuje skupini prijetnji praćenoj kao TeamPCP, poznatoj i pod pseudonimima kao što su DeadCatx3, PCPcat, PersyPCP i ShellForce. Dokazi upućuju na to da grupa djeluje najmanje od studenog 2025., a povezane aktivnosti na Telegramu datiraju od 30. srpnja 2025. Telegram kanal TeamPCP, koji je narastao na više od 700 članova, koristi se za objavljivanje ukradenih podataka povezanih sa žrtvama u Kanadi, Srbiji, Južnoj Koreji, Ujedinjenim Arapskim Emiratima i Sjedinjenim Državama.

Istraživači su prvi put dokumentirali operacije glumca u prosincu 2025. pod nazivom Operacija PCPcat.

Oportunistička zlouporaba slabosti cloud-native rješenja

TeamPCP djeluje kao cloud-native platforma za kibernetički kriminal, iskorištavajući izložena upravljačka sučelja, uobičajene pogrešne konfiguracije i kritične ranjivosti, uključujući nedavno otkrivenu grešku React2Shell (CVE-2025-55182, CVSS 10.0). Primarni putevi zaraze uočeni u kampanji uključuju:

Izloženi Docker API-ji, Kubernetes API-ji, Ray nadzorne ploče, Redis poslužitelji i ranjive React/Next.js aplikacije

Ove slabosti se iskorištavaju ne za ciljanje određenih industrija, već za oportunističko preuzimanje infrastrukture, najčešće unutar okruženja Amazon Web Services i Microsoft Azure, pretvarajući pogođene organizacije u kolateralne žrtve.

Industrijska eksploatacija u velikim razmjerima

Umjesto oslanjanja na nove tehnike, TeamPCP naglašava opseg i automatizaciju. Operacija kombinira utvrđene alate, poznate ranjivosti i široko dokumentirane pogrešne konfiguracije kako bi industrijalizirala iskorištavanje. Kompromitirana okruženja transformiraju se u samorazmnožavajući kriminalni ekosustav koji podržava skeniranje, lateralno kretanje, perzistentnost i monetizaciju.

Sveobuhvatni ciljevi uključuju izgradnju distribuirane infrastrukture za proxy i skeniranje, izvlačenje podataka, primjenu ransomwarea, provođenje kampanja iznude i rudarenje kriptovaluta. Kompromitirana imovina također se prenamjenjuje za hosting podataka, proxy usluge i releje za zapovijedanje i kontrolu.

Modularni korisni tereti i alati prilagođeni oblaku

Uspješan početni pristup omogućuje isporuku sekundarnih podataka s vanjskih poslužitelja, obično u shell ili Python obliku, osmišljenih za proširenje dosega kampanje. Središnja komponenta, proxy.sh, instalira proxy, peer-to-peer i uslužne programe za tuneliranje, a istovremeno implementira skenere koji kontinuirano pretražuju internet u potrazi za novim ranjivim ciljevima.

Posebno je važno napomenuti da proxy.sh provodi otiske prstiju u okruženju izvođenja kako bi utvrdio izvršava li se unutar Kubernetes klastera. Kada se otkrije takvo okruženje, skripta slijedi zaseban put izvršavanja i implementira specifične korisne terete klastera, naglašavajući prilagođeni pristup grupe ciljevima u oblaku.

Podskup pratećih korisnih tereta uključuje:

  • scanner.py, koji preuzima CIDR raspone s GitHub računa povezanog s DeadCatx3 kako bi locirao pogrešno konfigurirane Docker API-je i Ray nadzorne ploče, s opcijskim rudarenjem kriptovaluta putem mine.sh
  • kube.py, koji se fokusira na prikupljanje Kubernetes vjerodajnica, otkrivanje podova i imenskih prostora temeljeno na API-ju, propagaciju kroz dostupne podove i perzistenciju putem privilegiranih podova montiranih na svaki čvor.
  • react.py, koji iskorištava ranjivost Reacta (CVE-2025-29927) za postizanje izvršavanja naredbi na daljinu u velikim razmjerima
  • pcpcat.py, koji skenira velike IP raspone za izložene Docker API-je i Ray nadzorne ploče te implementira zlonamjerne kontejnere ili poslove koji pokreću Base64-kodirane korisne terete

Sposobnosti zapovijedanja i upravljanja i post-eksploatacijske sposobnosti

Istraživači su povezali čvor za zapovijedanje i kontrolu na adresi 67.217.57[.]240 s operacijom, uočavajući preklapanja s korištenjem Slivera, legitimnog C2 okvira otvorenog koda koji često zloupotrebljavaju prijetnje tijekom faza nakon iskorištavanja.

Hibridni model monetizacije izgrađen za otpornost

Kampanja PCPcat demonstrira kompletan životni ciklus napada, skeniranje, iskorištavanje, perzistentnost, tuneliranje, krađu podataka i monetizaciju, posebno dizajniran za cloud infrastrukturu. Primarna opasnost koju predstavlja TeamPCP ne leži u tehničkim inovacijama, već u operativnoj integraciji i skaliranju. Većina iskorištavanja i zlonamjernog softvera iskorištava dobro poznate ranjivosti i blago modificirane alate otvorenog koda.

Istovremeno, grupa miješa zlouporabu infrastrukture s krađom podataka i iznudom. Procurele baze podataka životopisa, identifikacijski zapisi i korporativni podaci objavljuju se putem ShellForcea kako bi se potaknule operacije ransomwarea, prijevare i izgradnja reputacije unutar ekosustava kibernetičkog kriminala. Ova strategija dvostruke monetizacije, koja profitira i od računalnih resursa i od ukradenih informacija, pruža višestruke tokove prihoda i povećava otpornost na poremećaje i uklanjanja.

U trendu

Nagledanije

Učitavam...