TeamPCP Worm

사이버 보안 연구원들은 클라우드 네이티브 환경을 체계적으로 표적으로 삼아 악성 인프라를 구축하고 이를 악용하는 대규모 웜 공격 캠페인을 발견했습니다. 이 공격과 관련된 활동은 2025년 12월 25일경에 관찰되었으며, 최신 클라우드 스택 전반에 걸쳐 노출된 서비스와 취약점을 악용하려는 조직적인 시도를 보여줍니다.

TeamPCP: 빠르게 부상하는 위협 집단

이 캠페인은 TeamPCP라는 이름으로 추적되는 위협 집단과 관련이 있으며, DeadCatx3, PCPcat, PersyPCP, ShellForce 등의 별칭으로도 알려져 있습니다. 증거에 따르면 이 그룹은 적어도 2025년 11월부터 활동해 왔으며, 관련 텔레그램 활동은 2025년 7월 30일까지 거슬러 올라갑니다. 700명 이상의 회원을 보유한 TeamPCP 텔레그램 채널은 캐나다, 세르비아, 한국, 아랍에미리트, 미국 등지의 피해자와 관련된 탈취된 데이터를 게시하는 데 사용됩니다.

연구원들은 2025년 12월 'PCPcat 작전'이라는 명칭으로 해당 행위자의 활동을 처음으로 기록했습니다.

클라우드 네이티브 취약점을 이용한 기회주의적 악용

TeamPCP는 클라우드 기반 사이버 범죄 플랫폼으로, 노출된 관리 인터페이스, 일반적인 구성 오류, 그리고 최근 공개된 React2Shell 취약점(CVE-2025-55182, CVSS 10.0)을 포함한 심각한 취약점을 악용합니다. 이 캠페인에서 관찰된 주요 감염 경로는 다음과 같습니다.

Docker API, Kubernetes API, Ray 대시보드, Redis 서버 및 취약한 React/Next.js 애플리케이션이 노출되었습니다.

이러한 취약점은 특정 산업을 표적으로 삼기 위한 것이 아니라, 아마존 웹 서비스(AWS) 및 마이크로소프트 애저(Azure) 환경과 같은 인프라를 기회주의적으로 장악하여 영향을 받는 조직을 부수적인 피해자로 만드는 데 악용됩니다.

대규모 산업화된 착취

TeamPCP는 새로운 기술에 의존하기보다는 규모와 자동화에 중점을 둡니다. 이들은 기존 도구, 알려진 취약점, 그리고 널리 알려진 시스템 설정 오류를 결합하여 악용을 산업화합니다. 침해된 환경은 스캐닝, 측면 이동, 지속성 확보, 그리고 수익 창출을 지원하는 자가 증식적인 범죄 생태계로 변모합니다.

주요 목표에는 분산 프록시 및 스캐닝 인프라 구축, 데이터 유출, 랜섬웨어 배포, 금전 갈취 캠페인 수행, 암호화폐 채굴 등이 포함됩니다. 또한, 탈취된 자산은 데이터 호스팅, 프록시 서비스, 명령 및 제어 중계 장치 등으로 재활용됩니다.

모듈형 페이로드 및 클라우드 인식 툴링

초기 접근에 성공하면 외부 서버에서 2차 페이로드(일반적으로 셸 또는 파이썬 형식)를 전송할 수 있으며, 이는 캠페인의 도달 범위를 확장하도록 설계되었습니다. 핵심 구성 요소인 proxy.sh는 프록시, P2P 및 터널링 유틸리티를 설치하는 동시에 인터넷을 지속적으로 탐색하여 새로운 취약 대상을 찾는 스캐너를 배포합니다.

특히 proxy.sh는 런타임 환경 지문 분석을 통해 쿠버네티스 클러스터 내부에서 실행되는지 여부를 판단합니다. 이러한 환경이 감지되면 스크립트는 별도의 실행 경로를 따라 클러스터별 페이로드를 배포하여 클라우드 네이티브 환경에 특화된 접근 방식을 보여줍니다.

지원 페이로드의 하위 집합은 다음과 같습니다.

• scanner.py는 DeadCatx3와 연결된 GitHub 계정에서 CIDR 범위를 다운로드하여 잘못 구성된 Docker API 및 Ray 대시보드를 찾는 프로그램이며, mine.sh를 통해 선택적으로 암호화폐 채굴도 가능합니다.
• kube.py는 Kubernetes 자격 증명 수집, API 기반 파드 및 네임스페이스 검색, 접근 가능한 파드를 통한 전파, 그리고 각 노드에 마운트된 권한 있는 파드를 통한 지속성에 초점을 맞춥니다.
• react.py는 React 취약점(CVE-2025-29927)을 악용하여 대규모 원격 명령 실행을 가능하게 합니다.
• pcpcat.py는 광범위한 IP 범위를 스캔하여 노출된 Docker API 및 Ray 대시보드를 찾아내고, Base64로 인코딩된 페이로드를 실행하는 악성 컨테이너 또는 작업을 배포하는 프로그램입니다.

지휘통제 및 사후 활용 능력

연구원들은 67.217.57[.]240에 있는 명령 및 제어 노드가 해당 작전과 연관되어 있음을 확인했으며, 이는 공격자가 사후 공격 단계에서 자주 악용하는 합법적인 오픈 소스 C2 프레임워크인 Sliver의 사용과 중복되는 것으로 나타났습니다.

회복력을 고려하여 설계된 하이브리드 수익화 모델

PCPcat 캠페인은 클라우드 인프라에 특화된 공격 방식을 보여주며, 스캐닝, 익스플로잇, 지속성 확보, 터널링, 데이터 탈취, 수익 창출 등 완전한 공격 라이프사이클을 포괄합니다. TeamPCP의 주요 위협은 기술적 혁신이 아니라 운영 통합 및 규모에 있습니다. 대부분의 익스플로잇과 멀웨어는 잘 알려진 취약점과 약간 수정된 오픈 소스 도구를 활용합니다.

동시에, 이 그룹은 인프라 악용과 데이터 절도 및 갈취를 결합합니다. 유출된 이력서 데이터베이스, 신원 기록 및 기업 데이터는 ShellForce를 통해 공개되어 랜섬웨어 공격, 사기 및 사이버 범죄 생태계 내에서의 평판 구축에 이용됩니다. 컴퓨팅 자원과 절도된 정보 모두에서 이익을 얻는 이러한 이중 수익 창출 전략은 다양한 수익원을 제공하고 시스템 중단 및 공격에 대한 회복력을 강화합니다.