TeamPCP tārps
Kiberdrošības pētnieki ir atklājuši plašu, tārpu vadītu kampaņu, kas sistemātiski uzbrūk mākoņvidēm, lai izveidotu ļaunprātīgu infrastruktūru turpmākai izmantošanai. Ar šo operāciju saistītā aktivitāte tika novērota ap 2025. gada 25. decembri, atklājot koordinētus centienus ļaunprātīgi izmantot neaizsargātus pakalpojumus un ievainojamības mūsdienu mākoņpakalpojumos.
Satura rādītājs
TeamPCP: strauji augošs apdraudējumu klasteris
Kampaņa tiek attiecināta uz apdraudējumu klasteri, kas tiek izsekots kā TeamPCP, kas pazīstams arī ar tādiem pseidonīmiem kā DeadCatx3, PCPcat, PersyPCP un ShellForce. Pierādījumi liecina, ka grupa darbojas vismaz kopš 2025. gada novembra, un saistītā Telegram aktivitāte ir notikusi kopš 2025. gada 30. jūlija. TeamPCP Telegram kanāls, kurā ir vairāk nekā 700 dalībnieku, tiek izmantots, lai publicētu nozagtus datus, kas saistīti ar upuriem Kanādā, Serbijā, Dienvidkorejā, Apvienotajos Arābu Emirātos un Amerikas Savienotajās Valstīs.
Pētnieki aktiera darbības pirmo reizi dokumentēja 2025. gada decembrī ar apzīmējumu Operation PCPcat.
Mākoņpakalpojumu vājumu oportūnistiska ļaunprātīga izmantošana
TeamPCP darbojas kā mākonī bāzēta kibernoziegumu apkarošanas platforma, izmantojot atklātas pārvaldības saskarnes, bieži sastopamas nepareizas konfigurācijas un kritiskas ievainojamības, tostarp nesen atklāto React2Shell trūkumu (CVE-2025-55182, CVSS 10.0). Galvenie kampaņā novērotie inficēšanās ceļi ir šādi:
Atklātas Docker API, Kubernetes API, Ray informācijas paneļi, Redis serveri un neaizsargātas React/Next.js lietojumprogrammas
Šīs vājās vietas tiek izmantotas nevis lai uzbruktu konkrētām nozarēm, bet gan lai oportūnistiski sagrābtu infrastruktūru, visbiežāk Amazon Web Services un Microsoft Azure vidēs, pārvēršot skartās organizācijas par netiešiem upuriem.
Industrializēta ekspluatācija plašā mērogā
Tā vietā, lai paļautos uz jaunām metodēm, TeamPCP uzsver mērogojamību un automatizāciju. Darbība apvieno jau izveidotus rīkus, zināmas ievainojamības un plaši dokumentētas nepareizas konfigurācijas, lai industrializētu izmantošanu. Apdraudētas vides tiek pārveidotas par pašvairojošu noziedzīgu ekosistēmu, kas atbalsta skenēšanu, horizontālu pārvietošanos, noturību un monetizāciju.
Galvenie mērķi ietver izkliedētas starpniekservera un skenēšanas infrastruktūras izveidi, datu izvilkšanu, izspiedējvīrusu izvietošanu, izspiešanas kampaņu veikšanu un kriptovalūtas ieguvi. Apdraudētie aktīvi tiek arī izmantoti datu mitināšanai, starpniekservera pakalpojumiem un komandu un kontroles relejiem.
Modulāras lietderīgās slodzes un mākoņpakalpojumos izmantojami rīki
Veiksmīga sākotnējā piekļuve ļauj piegādāt sekundārās slodzes no ārējiem serveriem, parasti čaulas vai Python formātā, kas paredzētas kampaņas tvēruma paplašināšanai. Centrālais komponents proxy.sh instalē starpniekservera, vienādranga un tunelēšanas utilītas, vienlaikus izvietojot skenerus, kas nepārtraukti meklē internetā jaunus neaizsargātus mērķus.
Jāatzīmē, ka proxy.sh veic izpildlaika vides pirkstu nospiedumu analīzi, lai noteiktu, vai tas darbojas Kubernetes klasterī. Kad šāda vide tiek atklāta, skripts seko atsevišķam izpildes ceļam un izvieto klasterim specifiskas slodzes, uzsverot grupas pielāgoto pieeju mākoņtehnoloģijās balstītiem mērķiem.
Atbalsta lietderīgās slodzes apakškopā ietilpst:
- scanner.py, kas lejupielādē CIDR diapazonus no GitHub konta, kas saistīts ar DeadCatx3, lai atrastu nepareizi konfigurētus Docker API un Ray informācijas paneļus, ar papildu kriptovalūtas ieguvi, izmantojot mine.sh
- kube.py, kas koncentrējas uz Kubernetes akreditācijas datu apkopošanu, uz API balstītu podu un vārdtelpu atklāšanu, izplatīšanu caur pieejamiem podiem un noturību, izmantojot privileģētus podus, kas uzstādīti katrā mezglā.
- react.py, kas izmanto React ievainojamību (CVE-2025-29927), lai panāktu attālinātu komandu izpildi plašā mērogā.
- pcpcat.py, kas skenē lielus IP diapazonus, meklējot atklātas Docker API un Ray informācijas paneļus, un izvieto ļaunprātīgus konteinerus vai uzdevumus, kuros darbojas Base64 kodēta vērtība.
Komandvadības un kontroles, kā arī pēcekspluatācijas spējas
Pētnieki ir saistījuši operāciju ar vadības un kontroles mezglu ar adresi 67.217.57[.]240, atzīmējot pārklāšanos ar Sliver izmantošanu — likumīgu atvērtā pirmkoda C2 ietvaru, ko apdraudējumu izpildītāji bieži ļaunprātīgi izmanto pēcekspluatācijas fāzēs.
Hibrīda monetizācijas modelis, kas radīts noturībai
PCPcat kampaņa demonstrē pilnu uzbrukuma dzīves ciklu, skenēšanu, izmantošanu, noturību, tunelēšanu, datu zādzību un monetizāciju, kas īpaši izstrādāta mākoņinfrastruktūrai. Galvenais TeamPCP radītais apdraudējums nav tehniskās inovācijas, bet gan operacionālā integrācija un mērogs. Lielākā daļa izmantošanas gadījumu un ļaunprogrammatūras izmanto labi zināmas ievainojamības un nedaudz modificētus atvērtā pirmkoda rīkus.
Vienlaikus grupa apvieno infrastruktūras ļaunprātīgu izmantošanu ar datu zādzībām un izspiešanu. Nopludinātas CV datubāzes, identitātes ieraksti un korporatīvie dati tiek publicēti, izmantojot ShellForce, lai veicinātu izspiedējvīrusu operācijas, krāpšanu un reputācijas veidošanu kibernoziedzības ekosistēmā. Šī duālā monetizācijas stratēģija, gūstot peļņu gan no skaitļošanas resursiem, gan nozagtas informācijas, nodrošina vairākus ieņēmumu avotus un palielina noturību pret traucējumiem un programmatūras bloķēšanu.
