TeamPCP वर्म

साइबर सुरक्षा अनुसन्धानकर्ताहरूले क्लाउड-नेटिभ वातावरणलाई व्यवस्थित रूपमा लक्षित गर्ने व्यापक, कीरा-संचालित अभियान पत्ता लगाएका छन् जसले पछिको शोषणको लागि दुर्भावनापूर्ण पूर्वाधार निर्माण गर्दछ। यस अपरेशनसँग सम्बन्धित गतिविधि डिसेम्बर २५, २०२५ को आसपास अवलोकन गरिएको थियो, जसले आधुनिक क्लाउड स्ट्याकहरूमा खुला सेवाहरू र कमजोरीहरूको दुरुपयोग गर्ने समन्वित प्रयासलाई प्रकट गर्दछ।

TeamPCP: द्रुत रूपमा उदीयमान खतरा समूह

यो अभियान TeamPCP को रूपमा ट्र्याक गरिएको खतरा समूहलाई श्रेय दिइएको छ, जसलाई DeadCatx3, PCPcat, PersyPCP, र ShellForce जस्ता उपनामहरूले पनि चिनिन्छ। प्रमाणहरूले सुझाव दिन्छ कि यो समूह कम्तिमा नोभेम्बर २०२५ देखि सञ्चालनमा छ, सम्बन्धित टेलिग्राम गतिविधि जुलाई ३०, २०२५ देखिको हो। TeamPCP टेलिग्राम च्यानल, जुन ७०० भन्दा बढी सदस्यहरूमा बढेको छ, क्यानडा, सर्बिया, दक्षिण कोरिया, संयुक्त अरब इमिरेट्स र संयुक्त राज्य अमेरिकामा पीडितहरूसँग सम्बन्धित चोरी गरिएको डेटा प्रकाशित गर्न प्रयोग गरिन्छ।

अनुसन्धानकर्ताहरूले पहिलो पटक डिसेम्बर २०२५ मा अभिनेताको शल्यक्रियालाई अपरेशन पीसीपीक्याट नामकरण अन्तर्गत दस्तावेजीकरण गरेका थिए।

क्लाउड-नेटिभ कमजोरीहरूको अवसरवादी दुरुपयोग

TeamPCP ले क्लाउड-नेटिभ साइबर अपराध प्लेटफर्मको रूपमा काम गर्छ, जसले खुलासा गरिएको व्यवस्थापन इन्टरफेस, सामान्य गलत कन्फिगरेसन, र हालसालै खुलासा गरिएको React2Shell त्रुटि (CVE-2025-55182, CVSS 10.0) सहित महत्वपूर्ण कमजोरीहरूको फाइदा उठाउँछ। अभियानमा अवलोकन गरिएका प्राथमिक संक्रमण मार्गहरू समावेश छन्:

एक्सपोज्ड डकर एपीआई, कुबर्नेट्स एपीआई, रे ड्यासबोर्ड, रेडिस सर्भर, र कमजोर React/Next.js एप्लिकेसनहरू

यी कमजोरीहरूको शोषण विशिष्ट उद्योगहरूलाई लक्षित गर्न होइन, तर अवसरवादी रूपमा पूर्वाधार कब्जा गर्न गरिन्छ, प्रायः अमेजन वेब सेवाहरू र माइक्रोसफ्ट एज्युर वातावरण भित्र, प्रभावित संस्थाहरूलाई संपार्श्विक पीडितहरूमा परिणत गर्दै।

व्यापक मात्रामा औद्योगिक शोषण

नयाँ प्रविधिहरूमा भर पर्नुको सट्टा, TeamPCP ले स्केल र स्वचालनलाई जोड दिन्छ। यो अपरेशनले स्थापित उपकरणहरू, ज्ञात कमजोरीहरू, र व्यापक रूपमा दस्तावेज गरिएका गलत कन्फिगरेसनहरूलाई शोषणलाई औद्योगिकीकरण गर्न संयोजन गर्दछ। सम्झौता गरिएका वातावरणहरू स्क्यानिङ, पार्श्व आन्दोलन, दृढता र मुद्रीकरणलाई समर्थन गर्ने स्व-प्रचारित आपराधिक पारिस्थितिक प्रणालीमा रूपान्तरण हुन्छन्।

प्रमुख उद्देश्यहरूमा वितरित प्रोक्सी निर्माण र पूर्वाधार स्क्यान गर्ने, डेटा निकाल्ने, ransomware तैनाथ गर्ने, जबरजस्ती रकम असुल्ने अभियान सञ्चालन गर्ने, र क्रिप्टोकरेन्सी माइनिङ समावेश छन्। सम्झौता गरिएका सम्पत्तिहरू डेटा होस्टिंग, प्रोक्सी सेवाहरू, र कमाण्ड-एन्ड-नियन्त्रण रिलेहरूको लागि पनि पुन: प्रयोग गरिन्छ।

मोड्युलर पेलोड र क्लाउड-अवेयर टूलिङ

सफल प्रारम्भिक पहुँचले अभियानको पहुँच विस्तार गर्न डिजाइन गरिएको बाह्य सर्भरहरूबाट माध्यमिक पेलोडहरू, सामान्यतया शेल वा पाइथन रूपमा, डेलिभरी सक्षम बनाउँछ। एक केन्द्रीय घटक, proxy.sh, ले प्रोक्सी, पियर-टु-पियर, र टनेलिङ उपयोगिताहरू स्थापना गर्दछ जबकि स्क्यानरहरू तैनाथ गर्दछ जसले नयाँ कमजोर लक्ष्यहरूको लागि इन्टरनेटमा निरन्तर अनुसन्धान गर्दछ।

उल्लेखनीय रूपमा, proxy.sh ले कुबर्नेट्स क्लस्टर भित्र कार्यान्वयन भइरहेको छ कि छैन भनेर निर्धारण गर्न रनटाइम वातावरण फिंगरप्रिन्टिङ गर्दछ। जब यस्तो वातावरण पत्ता लाग्छ, स्क्रिप्टले छुट्टै कार्यान्वयन मार्ग पछ्याउँछ र क्लस्टर-विशिष्ट पेलोडहरू तैनाथ गर्दछ, जसले क्लाउड-नेटिभ लक्ष्यहरूमा समूहको अनुकूलित दृष्टिकोणलाई रेखांकित गर्दछ।

समर्थन गर्ने पेलोडहरूको उपसमूहमा समावेश छ:

• scanner.py, जसले Mine.sh मार्फत वैकल्पिक क्रिप्टोकरेन्सी माइनिङको साथ गलत कन्फिगर गरिएका डकर API र रे ड्यासबोर्डहरू पत्ता लगाउन DeadCatx3 सँग सम्बन्धित GitHub खाताबाट CIDR दायराहरू डाउनलोड गर्दछ।
• kube.py, जसले Kubernetes क्रेडेन्सियल कटाई, पोड र नेमस्पेसको API-आधारित खोज, पहुँचयोग्य पोडहरू मार्फत प्रसार, र प्रत्येक नोडमा माउन्ट गरिएका विशेषाधिकार प्राप्त पोडहरू मार्फत निरन्तरतामा केन्द्रित छ।
• react.py, जसले स्केलमा रिमोट कमाण्ड कार्यान्वयन प्राप्त गर्न React vulnerability (CVE-2025-29927) को शोषण गर्दछ।
• pcpcat.py, जसले खुला डकर API र रे ड्यासबोर्डहरूको लागि ठूला IP दायराहरू स्क्यान गर्दछ र Base64-इनकोडेड पेलोडहरू चलाउने दुर्भावनापूर्ण कन्टेनरहरू वा कार्यहरू तैनाथ गर्दछ।

कमाण्ड-एन्ड-नियन्त्रण र शोषण पछिको क्षमताहरू

अनुसन्धानकर्ताहरूले ६७.२१७.५७[.]२४० मा रहेको कमाण्ड-एन्ड-कन्ट्रोल नोडलाई अपरेशनसँग जोडेका छन्, स्लिभरको प्रयोगसँग ओभरल्यापहरू उल्लेख गर्दै, एक वैध खुला-स्रोत C2 फ्रेमवर्क जुन शोषण पछिका चरणहरूमा धम्की अभिनेताहरू द्वारा बारम्बार दुरुपयोग गरिन्छ।

लचिलोपनको लागि निर्मित हाइब्रिड मुद्रीकरण मोडेल

PCPcat अभियानले क्लाउड पूर्वाधारको लागि विशेष रूपमा इन्जिनियर गरिएको पूर्ण आक्रमण जीवनचक्र, स्क्यानिङ, शोषण, दृढता, टनेलिङ, डेटा चोरी, र मुद्रीकरण प्रदर्शन गर्दछ। TeamPCP द्वारा उत्पन्न प्राथमिक खतरा प्राविधिक नवीनतामा होइन, तर परिचालन एकीकरण र स्केलमा निहित छ। धेरैजसो शोषण र मालवेयरले ज्ञात कमजोरीहरू र हल्का रूपमा परिमार्जित खुला-स्रोत उपकरणको लाभ उठाउँछन्।

एकै समयमा, समूहले पूर्वाधार दुरुपयोगलाई डेटा चोरी र जबरजस्ती रकम असुलीमा मिसाउँछ। चुहावट भएका CV डाटाबेसहरू, पहिचान रेकर्डहरू, र कर्पोरेट डेटा ShellForce मार्फत प्रकाशित गरिन्छ जसले साइबर अपराध इकोसिस्टम भित्र ransomware सञ्चालन, धोखाधडी, र प्रतिष्ठा निर्माणलाई बढावा दिन्छ। यो दोहोरो मुद्रीकरण रणनीति, कम्प्युट स्रोतहरू र चोरी गरिएको जानकारी दुवैबाट नाफा कमाउँदै, धेरै राजस्व प्रवाहहरू प्रदान गर्दछ र अवरोध र टेकडाउनहरू विरुद्ध लचिलोपन बढाउँछ।