TeamPCP féreg
Kiberbiztonsági kutatók lelepleztek egy átfogó, féregvezérelt kampányt, amely szisztematikusan célozza meg a felhőalapú környezeteket, hogy rosszindulatú infrastruktúrát hozzon létre a későbbi kihasználás érdekében. A művelethez kapcsolódó tevékenységet 2025. december 25. körül figyelték meg, feltárva a modern felhőalapú rendszerekben elérhető szolgáltatások és sebezhetőségek összehangolt visszaélési kísérletét.
Tartalomjegyzék
TeamPCP: Egy gyorsan növekvő fenyegetési klaszter
A kampányt egy TeamPCP néven nyomon követett fenyegetéscsoporthoz kötik, amelyet olyan álneveken is ismernek, mint a DeadCatx3, PCPcat, PersyPCP és ShellForce. A bizonyítékok arra utalnak, hogy a csoport legalább 2025 novembere óta működik, a kapcsolódó Telegram-tevékenység pedig 2025. július 30-ig nyúlik vissza. A több mint 700 tagú TeamPCP Telegram-csatorna kanadai, szerbiai, dél-koreai, Egyesült Arab Emírségekbeli és amerikai áldozatokhoz kapcsolódó ellopott adatok közzétételére szolgál.
A kutatók először 2025 decemberében dokumentálták a színész műveleteit Operation PCPcat megnevezéssel.
A felhőalapú gyengeségek opportunista kihasználása
A TeamPCP egy felhőalapú kiberbűnözési platformként működik, kihasználva a veszélyeztetett felügyeleti felületeket, a gyakori hibás konfigurációkat és a kritikus sebezhetőségeket, beleértve a nemrégiben nyilvánosságra hozott React2Shell hibát (CVE-2025-55182, CVSS 10.0). A kampány során megfigyelt elsődleges fertőzési útvonalak a következők:
Docker API-k, Kubernetes API-k, Ray dashboardok, Redis szerverek és sebezhető React/Next.js alkalmazások
Ezeket a gyengeségeket nem konkrét iparágak megcélzására használják ki, hanem az infrastruktúra opportunista megszerzésére, leggyakrabban az Amazon Web Services és a Microsoft Azure környezetekben, az érintett szervezeteket járulékos áldozatokká téve.
Iparosított kizsákmányolás nagy léptékben
Az új technikák helyett a TeamPCP a méretezhetőségre és az automatizálásra helyezi a hangsúlyt. A művelet bevált eszközöket, ismert sebezhetőségeket és széles körben dokumentált hibás konfigurációkat ötvöz a kizsákmányolás iparosítása érdekében. A feltört környezetek egy önmagát terjesztő bűnözői ökoszisztémává alakulnak át, amely támogatja a szkennelést, az oldalirányú mozgást, a megmaradást és a bevételszerzést.
Az átfogó célok közé tartozik az elosztott proxy és szkennelési infrastruktúra kiépítése, az adatok kiszivárogtatása, zsarolóvírusok telepítése, zsarolókampányok lebonyolítása és a kriptovaluta bányászat. A feltört eszközöket adattárolásra, proxy szolgáltatásokra és parancs- és vezérlőátvitelre is felhasználják.
Moduláris hasznos terhek és felhőalapú eszközök
A sikeres kezdeti hozzáférés lehetővé teszi másodlagos hasznos adatok kézbesítését külső szerverekről, jellemzően shell vagy Python formában, amelyek célja a kampány hatókörének bővítése. Egy központi komponens, a proxy.sh, telepíti a proxy, a peer-to-peer és az alagútkezelő segédprogramokat, miközben szkennereket telepít, amelyek folyamatosan vizsgálják az internetet új, sebezhető célpontok után kutatva.
Figyelemre méltó, hogy a proxy.sh futásidejű környezet ujjlenyomat-elemzéssel állapítja meg, hogy Kubernetes-klaszteren belül fut-e. Amikor ilyen környezetet észlel, a szkript egy külön végrehajtási útvonalat követ, és klaszter-specifikus hasznos adatokat telepít, kiemelve a csoport felhőalapú célokhoz való testreszabott megközelítését.
A támogató hasznos terhek egy részhalmaza a következőket tartalmazza:
- scanner.py, amely a DeadCatx3-hoz társított GitHub-fiókból tölti le a CIDR-tartományokat a rosszul konfigurált Docker API-k és Ray-dashboardok megkereséséhez, opcionális kriptovaluta-bányászattal a mine.sh-n keresztül.
- kube.py, amely a Kubernetes hitelesítő adatok gyűjtésére, a podok és névterek API-alapú felderítésére, az elérhető podokon keresztüli terjesztésre és az egyes csomópontokra csatlakoztatott privilegizált podokon keresztüli megőrzésre összpontosít.
- react.py, amely egy React sebezhetőséget (CVE-2025-29927) használ ki a távoli parancsok nagy léptékű végrehajtásához
- pcpcat.py, amely nagy IP-tartományokat vizsgál át nyilvános Docker API-k és Ray műszerfalak után kutatva, és rosszindulatú konténereket vagy Base64 kódolású hasznos adatokat futtató feladatokat telepít.
Parancsnoki és irányítási, valamint kizsákmányolás utáni képességek
A kutatók egy, a 67.217.57[.]240 címen található parancs- és vezérlőcsomópontot kapcsoltak a művelethez, és átfedéseket észleltek a Sliver használatával, amely egy legitim, nyílt forráskódú C2 keretrendszer, amelyet a fenyegető szereplők gyakran visszaélnek a kihasználás utáni fázisokban.
Hibrid monetizációs modell, amely a rugalmasságra épül
A PCPcat kampány egy teljes támadási életciklust mutat be, beleértve a szkennelést, a kihasználást, a perzisztenciát, az alagútkezelést, az adatlopást és a bevételszerzést, kifejezetten felhőalapú infrastruktúrára tervezve. A TeamPCP által jelentett elsődleges veszély nem a technikai innovációban, hanem a működési integrációban és a méretezhetőségben rejlik. A legtöbb kihasználás és rosszindulatú program jól ismert sebezhetőségeket és enyhén módosított nyílt forráskódú eszközöket használ ki.
Ugyanakkor a csoport az infrastruktúrával való visszaélést adatlopással és zsarolással ötvözi. Kiszivárgott önéletrajz-adatbázisokat, személyazonosító adatokat és vállalati adatokat tesznek közzé a ShellForce-on keresztül, hogy támogassák a zsarolóvírus-műveleteket, a csalásokat és a hírnévépítést a kiberbűnözési ökoszisztémán belül. Ez a kettős bevételszerzési stratégia, amely mind a számítási erőforrásokból, mind az ellopott információkból profitál, több bevételi forrást biztosít, és növeli a zavarokkal és a letiltásokkal szembeni ellenálló képességet.
