TeamPCP kirminas
Kibernetinio saugumo tyrėjai atskleidė plačią, kirminų valdomą kampaniją, kuri sistemingai taikosi į debesijos kompiuterijos aplinkas, siekiant sukurti kenkėjišką infrastruktūrą vėlesniam išnaudojimui. Su šia operacija susijusi veikla buvo pastebėta apie 2025 m. gruodžio 25 d., atskleidžiant koordinuotas pastangas piktnaudžiauti pažeidžiamomis paslaugomis ir pažeidžiamumais šiuolaikiniuose debesijos paketuose.
Turinys
„TeamPCP“: sparčiai besiformuojantis grėsmių klasteris
Kampanija buvo priskirta grėsmių grupei, sekamai kaip „TeamPCP“, taip pat žinomai tokiais slapyvardžiais kaip „DeadCatx3“, „PCPcat“, „PersyPCP“ ir „ShellForce“. Įrodymai rodo, kad grupė veikia mažiausiai nuo 2025 m. lapkričio mėn., o susijusi „Telegram“ veikla siekia 2025 m. liepos 30 d. „TeamPCP Telegram“ kanalas, kuriame yra daugiau nei 700 narių, naudojamas pavogtiems duomenims, susijusiems su aukomis Kanadoje, Serbijoje, Pietų Korėjoje, Jungtiniuose Arabų Emyratuose ir Jungtinėse Amerikos Valstijose, skelbti.
Tyrėjai pirmą kartą aktoriaus operacijas dokumentavo 2025 m. gruodį, pavadinimu „Operacija PCPcat“.
Oportunistinis debesijos vietinių silpnybių piktnaudžiavimas
„TeamPCP“ veikia kaip debesijos pagrindu sukurta kibernetinių nusikaltimų platforma, išnaudojanti atviras valdymo sąsajas, dažnas netinkamas konfigūracijas ir kritinius pažeidžiamumus, įskaitant neseniai atskleistą „React2Shell“ klaidą (CVE-2025-55182, CVSS 10.0). Pagrindiniai kampanijos metu pastebėti užkrėtimo keliai:
Atsparios „Docker“ API, „Kubernetes“ API, „Ray“ ataskaitų suvestinės, „Redis“ serveriai ir pažeidžiamos „React“ / „Next.js“ programos
Šiais trūkumais naudojamasi ne siekiant nusitaikyti į konkrečius pramonės sektorius, o oportunistiškai užgrobti infrastruktūrą, dažniausiai „Amazon Web Services“ ir „Microsoft Azure“ aplinkose, paverčiant paveiktas organizacijas tiesioginėmis aukomis.
Industrializuotas eksploatavimas dideliu mastu
Užuot pasikliovusi naujomis technikomis, „TeamPCP“ pabrėžia mastelį ir automatizavimą. Operacija derina nusistovėjusius įrankius, žinomus pažeidžiamumus ir plačiai dokumentuotas netinkamas konfigūracijas, siekiant industrializuoti išnaudojimą. Pažeistos aplinkos transformuojamos į savaime plintančią nusikalstamą ekosistemą, kuri palaiko nuskaitymą, horizontalią migraciją, atkaklumą ir monetizavimą.
Svarbiausi tikslai apima paskirstytos tarpinio serverio ir skenavimo infrastruktūros kūrimą, duomenų išgavimą, išpirkos reikalaujančių programų diegimą, turto prievartavimo kampanijų vykdymą ir kriptovaliutos kasimą. Pažeistas turtas taip pat naudojamas duomenų talpinimui, tarpinio serverio paslaugoms ir komandų bei valdymo perdavimo sistemoms.
Moduliniai naudingieji krūviai ir debesijos pagrindu veikiantys įrankiai
Sėkminga pradinė prieiga leidžia pristatyti antrinius naudinguosius duomenis iš išorinių serverių, paprastai apvalkalo arba „Python“ formatu, skirtus išplėsti kampanijos aprėptį. Centrinis komponentas „proxy.sh“ įdiegia tarpinio serverio, „peer-to-peer“ ir tuneliavimo įrankius, tuo pačiu diegdamas skaitytuvus, kurie nuolat tikrina internetą, ieškodami naujų pažeidžiamų taikinių.
Pažymėtina, kad „proxy.sh“ atlieka vykdymo aplinkos pirštų atspaudų analizę, kad nustatytų, ar vykdoma „Kubernetes“ klasteryje. Aptikus tokią aplinką, scenarijus seka atskiru vykdymo keliu ir diegia klasteriui būdingus naudinguosius krovinius, pabrėždamas grupės pritaikytą požiūrį į debesijos tikslus.
Palaikomųjų naudingųjų apkrovų pogrupį sudaro:
- scanner.py, kuris atsisiunčia CIDR diapazonus iš „GitHub“ paskyros, susietos su „DeadCatx3“, kad surastų netinkamai sukonfigūruotas „Docker“ API ir „Ray“ ataskaitų suvestines, su pasirenkama kriptovaliutų kasyba per mine.sh
- kube.py, kuris orientuotas į „Kubernetes“ kredencialų rinkimą, API pagrindu sukurtų pod'ų ir vardų erdvių aptikimą, platinimą per prieinamus pod'us ir išlaikymą per privilegijuotus pod'us, sumontuotus kiekviename mazge.
- „react.py“, kuris išnaudoja „React“ pažeidžiamumą (CVE-2025-29927), kad būtų galima nuotoliniu būdu vykdyti komandas dideliu mastu.
- pcpcat.py, kuris nuskaito didelius IP diapazonus, ieškodamas pažeidžiamų „Docker“ API ir „Ray“ ataskaitų sričių, ir diegia kenkėjiškus konteinerius arba užduotis, kuriose vykdomi „Base64“ užkoduoti naudingieji kroviniai.
Vadovavimo ir kontrolės bei poeksploatavimo pajėgumai
Tyrėjai prie operacijos susiejo valdymo ir kontrolės mazgą, esantį adresu 67.217.57[.]240, atkreipdami dėmesį į dubliavimąsi su „Sliver“ – teisėtos atvirojo kodo C2 platformos, kuria grėsmių veikėjai dažnai piktnaudžiauja po išnaudojimo etapuose, – naudojimu.
Hibridinis monetizacijos modelis, sukurtas atsparumui
„PCPcat“ kampanija demonstruoja visą atakos gyvavimo ciklą – nuskaitymą, išnaudojimą, atkaklumą, tuneliavimą, duomenų vagystę ir pajamų gavimą, specialiai sukurtą debesų infrastruktūrai. Pagrindinis „TeamPCP“ keliamas pavojus slypi ne techninėse inovacijose, o operacinėje integracijoje ir maste. Dauguma išnaudojimų ir kenkėjiškų programų išnaudoja gerai žinomus pažeidžiamumus ir šiek tiek modifikuotus atvirojo kodo įrankius.
Tuo pačiu metu grupė derina infrastruktūros piktnaudžiavimą su duomenų vagyste ir turto prievartavimu. Nutekintos gyvenimo aprašymų duomenų bazės, tapatybės įrašai ir įmonių duomenys yra skelbiami per „ShellForce“, siekiant paskatinti išpirkos reikalaujančių programų operacijas, sukčiavimą ir reputacijos kūrimą kibernetinių nusikaltimų ekosistemoje. Ši dviguba pajamų gavimo strategija, pelnantis tiek iš skaičiavimo išteklių, tiek iš pavogtos informacijos, suteikia kelis pajamų srautus ir padidina atsparumą sutrikimams ir programų pašalinimui.
