Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) TeamPCP Worm

TeamPCP Worm

Entro Mezo nel Minaccia persistente avanzata (APT), Malware, Vermi
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto una campagna di vasta portata basata su worm che prende di mira sistematicamente gli ambienti cloud-native per costruire infrastrutture dannose da sfruttare successivamente. L'attività legata a questa operazione è stata osservata intorno al 25 dicembre 2025, rivelando uno sforzo coordinato per sfruttare a proprio vantaggio i servizi e le vulnerabilità esposti nei moderni stack cloud.

TeamPCP: un cluster di minacce in rapida crescita

La campagna è stata attribuita a un gruppo di minacce identificato come TeamPCP, noto anche con alias come DeadCatx3, PCPcat, PersyPCP e ShellForce. Le prove suggeriscono che il gruppo sia operativo almeno da novembre 2025, con attività correlate su Telegram risalenti al 30 luglio 2025. Il canale Telegram di TeamPCP, che conta oltre 700 membri, viene utilizzato per pubblicare dati rubati collegati a vittime in Canada, Serbia, Corea del Sud, Emirati Arabi Uniti e Stati Uniti.

I ricercatori hanno documentato per la prima volta le operazioni dell'attore nel dicembre 2025 con la denominazione Operazione PCPcat.

Abuso opportunistico delle debolezze cloud native

TeamPCP opera come una piattaforma cloud-native per la lotta alla criminalità informatica, sfruttando interfacce di gestione esposte, errori di configurazione comuni e vulnerabilità critiche, tra cui la falla di React2Shell recentemente scoperta (CVE-2025-55182, CVSS 10.0). I principali percorsi di infezione osservati nella campagna includono:

API Docker esposte, API Kubernetes, dashboard Ray, server Redis e applicazioni React/Next.js vulnerabili

Queste debolezze vengono sfruttate non per colpire settori specifici, ma per impossessarsi opportunisticamente delle infrastrutture, più frequentemente negli ambienti Amazon Web Services e Microsoft Azure, trasformando le organizzazioni colpite in vittime collaterali.

Sfruttamento industrializzato su larga scala

Invece di affidarsi a tecniche innovative, TeamPCP punta su scalabilità e automazione. L'operazione combina strumenti consolidati, vulnerabilità note ed errori di configurazione ampiamente documentati per industrializzare lo sfruttamento. Gli ambienti compromessi vengono trasformati in un ecosistema criminale auto-propagante che supporta scansione, movimento laterale, persistenza e monetizzazione.

Gli obiettivi generali includono la creazione di infrastrutture proxy e di scansione distribuite, l'esfiltrazione di dati, l'implementazione di ransomware, la conduzione di campagne di estorsione e il mining di criptovalute. Gli asset compromessi vengono inoltre riutilizzati per l'hosting di dati, servizi proxy e relay di comando e controllo.

Carichi utili modulari e strumenti cloud-aware

Un accesso iniziale riuscito consente la distribuzione di payload secondari da server esterni, in genere in formato shell o Python, progettati per espandere la portata della campagna. Un componente centrale, proxy.sh, installa utilità proxy, peer-to-peer e tunneling, implementando al contempo scanner che sondano costantemente Internet alla ricerca di nuovi obiettivi vulnerabili.

In particolare, proxy.sh esegue il fingerprinting dell'ambiente di runtime per determinare se è in esecuzione all'interno di un cluster Kubernetes. Quando viene rilevato un ambiente di questo tipo, lo script segue un percorso di esecuzione separato e distribuisce payload specifici per il cluster, sottolineando l'approccio personalizzato del gruppo verso obiettivi cloud-native.

Un sottoinsieme dei carichi utili di supporto include:

  • scanner.py, che scarica intervalli CIDR da un account GitHub associato a DeadCatx3 per individuare API Docker e dashboard Ray non configurate correttamente, con mining di criptovalute opzionale tramite mine.sh
  • kube.py, che si concentra sulla raccolta delle credenziali di Kubernetes, sulla scoperta basata su API di pod e namespace, sulla propagazione tramite pod accessibili e sulla persistenza tramite pod privilegiati montati su ciascun nodo
  • react.py, che sfrutta una vulnerabilità di React (CVE-2025-29927) per ottenere l'esecuzione di comandi remoti su larga scala
  • pcpcat.py, che esegue la scansione di ampi intervalli IP alla ricerca di API Docker esposte e dashboard Ray e distribuisce contenitori o processi dannosi che eseguono payload codificati in Base64

Capacità di comando e controllo e di post-sfruttamento

I ricercatori hanno collegato un nodo di comando e controllo a 67.217.57[.]240 all'operazione, notando sovrapposizioni con l'uso di Sliver, un legittimo framework C2 open source frequentemente abusato dagli attori della minaccia durante le fasi successive allo sfruttamento.

Un modello di monetizzazione ibrido progettato per la resilienza

La campagna PCPcat dimostra un ciclo di vita completo dell'attacco, con scansione, sfruttamento, persistenza, tunneling, furto di dati e monetizzazione, progettato specificamente per le infrastrutture cloud. Il pericolo principale rappresentato da TeamPCP non risiede nell'innovazione tecnica, ma nell'integrazione operativa e nella scalabilità. La maggior parte degli exploit e dei malware sfrutta vulnerabilità note e strumenti open source leggermente modificati.

Allo stesso tempo, il gruppo combina l'abuso delle infrastrutture con il furto di dati e l'estorsione. Database di CV, registri di identità e dati aziendali trapelati vengono pubblicati tramite ShellForce per alimentare operazioni di ransomware, frodi e creazione di reputazione all'interno dell'ecosistema della criminalità informatica. Questa doppia strategia di monetizzazione, che trae profitto sia dalle risorse di elaborazione che dalle informazioni rubate, fornisce molteplici flussi di entrate e aumenta la resilienza contro interruzioni e interruzioni.

Tendenza

I più visti

Caricamento in corso...