Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) TeamPCP-worm

TeamPCP-worm

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware, Wormen
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een grootschalige, door wormen aangedreven campagne ontdekt die zich systematisch richt op cloudomgevingen om kwaadaardige infrastructuur op te bouwen voor latere exploitatie. Activiteit die verband houdt met deze operatie werd waargenomen rond 25 december 2025 en onthulde een gecoördineerde poging om blootgestelde services en kwetsbaarheden in moderne cloudomgevingen te misbruiken.

TeamPCP: een snel opkomend dreigingscluster

De campagne wordt toegeschreven aan een dreigingscluster dat bekendstaat als TeamPCP, ook wel bekend onder aliassen zoals DeadCatx3, PCPcat, PersyPCP en ShellForce. Er zijn aanwijzingen dat de groep al minstens sinds november 2025 actief is, met gerelateerde Telegram-activiteit die teruggaat tot 30 juli 2025. Het TeamPCP Telegram-kanaal, dat inmiddels meer dan 700 leden telt, wordt gebruikt om gestolen gegevens te publiceren die gelinkt zijn aan slachtoffers in Canada, Servië, Zuid-Korea, de Verenigde Arabische Emiraten en de Verenigde Staten.

Onderzoekers documenteerden de activiteiten van de dader voor het eerst in december 2025 onder de aanduiding Operatie PCPcat.

Opportunistisch misbruik van de zwakke punten van cloud-native technologieën

TeamPCP functioneert als een cloudgebaseerd cybercriminaliteitsplatform dat profiteert van blootgestelde beheerinterfaces, veelvoorkomende configuratiefouten en kritieke kwetsbaarheden, waaronder de recent ontdekte React2Shell-kwetsbaarheid (CVE-2025-55182, CVSS 10.0). De belangrijkste infectieroutes die in de campagne zijn waargenomen, zijn onder andere:

Blootgestelde Docker API's, Kubernetes API's, Ray-dashboards, Redis-servers en kwetsbare React/Next.js-applicaties.

Deze zwakke punten worden niet uitgebuit om specifieke sectoren aan te vallen, maar om opportunistisch infrastructuur in beslag te nemen, meestal binnen Amazon Web Services- en Microsoft Azure-omgevingen, waardoor getroffen organisaties neveneffecten ondervinden.

Geïndustrialiseerde exploitatie op grote schaal

In plaats van te vertrouwen op nieuwe technieken, legt TeamPCP de nadruk op schaalvergroting en automatisering. De operatie combineert gevestigde tools, bekende kwetsbaarheden en alom gedocumenteerde configuratiefouten om exploitatie te industrialiseren. Gecompromitteerde omgevingen worden omgevormd tot een zelfverspreidend crimineel ecosysteem dat scanning, laterale verplaatsing, persistentie en monetisatie ondersteunt.

De overkoepelende doelstellingen omvatten het opzetten van gedistribueerde proxy- en scaninfrastructuur, het exfiltreren van data, het verspreiden van ransomware, het uitvoeren van afpersingscampagnes en het minen van cryptovaluta. Gecompromitteerde systemen worden ook hergebruikt voor datahosting, proxydiensten en command-and-control-relais.

Modulaire payloads en cloud-compatibele tools

Succesvolle initiële toegang maakt de levering van secundaire payloads vanaf externe servers mogelijk, meestal in shell- of Python-vorm, bedoeld om het bereik van de campagne te vergroten. Een centrale component, proxy.sh, installeert proxy-, peer-to-peer- en tunneling-hulpprogramma's en zet scanners in die continu het internet afspeuren naar nieuwe kwetsbare doelwitten.

Opvallend is dat proxy.sh de runtime-omgeving analyseert om te bepalen of het binnen een Kubernetes-cluster wordt uitgevoerd. Wanneer een dergelijke omgeving wordt gedetecteerd, volgt het script een apart uitvoeringspad en implementeert het clusterspecifieke payloads, wat de op maat gemaakte aanpak van de groep voor cloud-native doelen benadrukt.

Een deelverzameling van de ondersteunende payloads omvat:

  • scanner.py downloadt CIDR-bereiken van een GitHub-account dat is gekoppeld aan DeadCatx3 om verkeerd geconfigureerde Docker API's en Ray-dashboards te lokaliseren, met optionele cryptomining via mine.sh.
  • kube.py richt zich op het verzamelen van Kubernetes-referenties, API-gebaseerde ontdekking van pods en namespaces, verspreiding via toegankelijke pods en persistentie via geprivilegieerde pods die op elke node zijn gemount.
  • react.py maakt gebruik van een kwetsbaarheid in React (CVE-2025-29927) om op grote schaal op afstand commando's uit te voeren.
  • pcpcat.py scant grote IP-bereiken op blootgestelde Docker API's en Ray-dashboards en implementeert kwaadaardige containers of taken die Base64-gecodeerde payloads uitvoeren.

Command-and-control- en post-exploitatiemogelijkheden

Onderzoekers hebben een command-and-control-node op 67.217.57[.]240 gekoppeld aan de operatie en daarbij overeenkomsten opgemerkt met het gebruik van Sliver, een legitiem open-source C2-framework dat vaak door cybercriminelen wordt misbruikt in de fase na een aanval.

Een hybride verdienmodel ontworpen voor veerkracht.

De PCPcat-campagne demonstreert een complete aanvalscyclus, van scannen en exploiteren tot persistentie, tunneling, datadiefstal en monetisatie, specifiek ontworpen voor cloudinfrastructuren. Het grootste gevaar van TeamPCP schuilt niet in technische innovatie, maar in operationele integratie en schaalbaarheid. De meeste exploits en malware maken gebruik van bekende kwetsbaarheden en licht aangepaste open-source tools.

Tegelijkertijd combineert de groep misbruik van infrastructuur met datadiefstal en afpersing. Gelekte cv-databases, identiteitsgegevens en bedrijfsdata worden via ShellForce gepubliceerd om ransomware-aanvallen, fraude en reputatieopbouw binnen het cybercriminele ecosysteem te voeden. Deze dubbele verdienstrategie, waarbij zowel computerbronnen als gestolen informatie worden benut, zorgt voor meerdere inkomstenstromen en verhoogt de weerbaarheid tegen verstoringen en uitschakelingen.

Trending

Meest bekeken

Bezig met laden...