TeamPCP ਕੀੜਾ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਵਿਆਪਕ, ਕੀੜੇ-ਸੰਚਾਲਿਤ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਬਾਅਦ ਵਿੱਚ ਸ਼ੋਸ਼ਣ ਲਈ ਖਤਰਨਾਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਨਿਰਮਾਣ ਕਰਨ ਲਈ ਕਲਾਉਡ-ਨੇਟਿਵ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਨਾਲ ਜੁੜੀ ਗਤੀਵਿਧੀ 25 ਦਸੰਬਰ, 2025 ਦੇ ਆਸਪਾਸ ਦੇਖੀ ਗਈ ਸੀ, ਜਿਸ ਵਿੱਚ ਆਧੁਨਿਕ ਕਲਾਉਡ ਸਟੈਕਾਂ ਵਿੱਚ ਖੁੱਲ੍ਹੀਆਂ ਸੇਵਾਵਾਂ ਅਤੇ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਨ ਲਈ ਇੱਕ ਤਾਲਮੇਲ ਵਾਲੇ ਯਤਨ ਦਾ ਖੁਲਾਸਾ ਹੋਇਆ ਸੀ।

ਟੀਮਪੀਸੀਪੀ: ਇੱਕ ਤੇਜ਼ੀ ਨਾਲ ਉੱਭਰ ਰਿਹਾ ਖ਼ਤਰਾ ਸਮੂਹ

ਇਸ ਮੁਹਿੰਮ ਦਾ ਕਾਰਨ TeamPCP ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਖ਼ਤਰੇ ਵਾਲੇ ਸਮੂਹ ਨੂੰ ਮੰਨਿਆ ਗਿਆ ਹੈ, ਜਿਸਨੂੰ DeadCatx3, PCPcat, PersyPCP, ਅਤੇ ShellForce ਵਰਗੇ ਉਪਨਾਮਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਸਬੂਤ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਇਹ ਸਮੂਹ ਘੱਟੋ-ਘੱਟ ਨਵੰਬਰ 2025 ਤੋਂ ਕਾਰਜਸ਼ੀਲ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਬੰਧਿਤ ਟੈਲੀਗ੍ਰਾਮ ਗਤੀਵਿਧੀ 30 ਜੁਲਾਈ, 2025 ਤੋਂ ਹੈ। TeamPCP ਟੈਲੀਗ੍ਰਾਮ ਚੈਨਲ, ਜਿਸਦੇ 700 ਤੋਂ ਵੱਧ ਮੈਂਬਰ ਹੋ ਗਏ ਹਨ, ਦੀ ਵਰਤੋਂ ਕੈਨੇਡਾ, ਸਰਬੀਆ, ਦੱਖਣੀ ਕੋਰੀਆ, ਸੰਯੁਕਤ ਅਰਬ ਅਮੀਰਾਤ ਅਤੇ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵਿੱਚ ਪੀੜਤਾਂ ਨਾਲ ਜੁੜੇ ਚੋਰੀ ਹੋਏ ਡੇਟਾ ਨੂੰ ਪ੍ਰਕਾਸ਼ਤ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਦਸੰਬਰ 2025 ਵਿੱਚ ਅਦਾਕਾਰ ਦੇ ਆਪ੍ਰੇਸ਼ਨਾਂ ਨੂੰ ਓਪਰੇਸ਼ਨ ਪੀਸੀਪੀਕੈਟ ਦੇ ਨਾਮ ਹੇਠ ਦਸਤਾਵੇਜ਼ੀ ਰੂਪ ਦਿੱਤਾ।

ਕਲਾਉਡ-ਨੇਟਿਵ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਮੌਕਾਪ੍ਰਸਤ ਦੁਰਵਰਤੋਂ

TeamPCP ਇੱਕ ਕਲਾਉਡ-ਨੇਟਿਵ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਪਲੇਟਫਾਰਮ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਸਾਹਮਣੇ ਆਏ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸਾਂ, ਆਮ ਗਲਤ ਸੰਰਚਨਾਵਾਂ, ਅਤੇ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਹਾਲ ਹੀ ਵਿੱਚ ਖੁਲਾਸਾ ਕੀਤਾ ਗਿਆ React2Shell ਫਲਾਅ (CVE-2025-55182, CVSS 10.0) ਸ਼ਾਮਲ ਹੈ। ਮੁਹਿੰਮ ਵਿੱਚ ਦੇਖੇ ਗਏ ਪ੍ਰਾਇਮਰੀ ਇਨਫੈਕਸ਼ਨ ਮਾਰਗਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਐਕਸਪੋਜ਼ਡ ਡੌਕਰ API, ਕੁਬਰਨੇਟਸ API, ਰੇ ਡੈਸ਼ਬੋਰਡ, ਰੈਡਿਸ ਸਰਵਰ, ਅਤੇ ਕਮਜ਼ੋਰ React/Next.js ਐਪਲੀਕੇਸ਼ਨਾਂ

ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਖਾਸ ਉਦਯੋਗਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ, ਸਗੋਂ ਮੌਕਾਪ੍ਰਸਤ ਢੰਗ ਨਾਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਜ਼ਬਤ ਕਰਨ ਲਈ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਕਸਰ ਐਮਾਜ਼ਾਨ ਵੈੱਬ ਸੇਵਾਵਾਂ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਅਜ਼ੁਰ ਵਾਤਾਵਰਣਾਂ ਦੇ ਅੰਦਰ, ਪ੍ਰਭਾਵਿਤ ਸੰਗਠਨਾਂ ਨੂੰ ਜਮਾਂਦਰੂ ਪੀੜਤਾਂ ਵਿੱਚ ਬਦਲ ਦਿੰਦੇ ਹਨ।

ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਉਦਯੋਗਿਕ ਸ਼ੋਸ਼ਣ

ਨਵੀਂ ਤਕਨੀਕਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, ਟੀਮਪੀਸੀਪੀ ਸਕੇਲ ਅਤੇ ਆਟੋਮੇਸ਼ਨ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ। ਇਹ ਕਾਰਜ ਸਥਾਪਿਤ ਔਜ਼ਾਰਾਂ, ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ, ਅਤੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਦਸਤਾਵੇਜ਼ੀ ਗਲਤ ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਸ਼ੋਸ਼ਣ ਦਾ ਉਦਯੋਗੀਕਰਨ ਕਰਨ ਲਈ ਜੋੜਦਾ ਹੈ। ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣ ਇੱਕ ਸਵੈ-ਪ੍ਰਸਾਰਿਤ ਅਪਰਾਧਿਕ ਵਾਤਾਵਰਣ ਪ੍ਰਣਾਲੀ ਵਿੱਚ ਬਦਲ ਜਾਂਦੇ ਹਨ ਜੋ ਸਕੈਨਿੰਗ, ਪਾਸੇ ਦੀ ਗਤੀ, ਸਥਿਰਤਾ ਅਤੇ ਮੁਦਰੀਕਰਨ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।

ਮੁੱਖ ਉਦੇਸ਼ਾਂ ਵਿੱਚ ਵੰਡੀਆਂ ਗਈਆਂ ਪ੍ਰੌਕਸੀ ਅਤੇ ਸਕੈਨਿੰਗ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਨਿਰਮਾਣ, ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ, ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ, ਜਬਰਦਸਤੀ ਮੁਹਿੰਮਾਂ ਚਲਾਉਣਾ, ਅਤੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਦੀ ਮਾਈਨਿੰਗ ਸ਼ਾਮਲ ਹਨ। ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਗਈਆਂ ਸੰਪਤੀਆਂ ਨੂੰ ਡੇਟਾ ਹੋਸਟਿੰਗ, ਪ੍ਰੌਕਸੀ ਸੇਵਾਵਾਂ, ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਰੀਲੇਅ ਲਈ ਵੀ ਦੁਬਾਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਮਾਡਿਊਲਰ ਪੇਲੋਡ ਅਤੇ ਕਲਾਉਡ-ਅਵੇਅਰ ਟੂਲਿੰਗ

ਸਫਲ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਬਾਹਰੀ ਸਰਵਰਾਂ ਤੋਂ ਸੈਕੰਡਰੀ ਪੇਲੋਡਾਂ ਦੀ ਡਿਲੀਵਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ, ਆਮ ਤੌਰ 'ਤੇ ਸ਼ੈੱਲ ਜਾਂ ਪਾਈਥਨ ਰੂਪ ਵਿੱਚ, ਜੋ ਮੁਹਿੰਮ ਦੀ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇੱਕ ਕੇਂਦਰੀ ਭਾਗ, proxy.sh, ਪ੍ਰੌਕਸੀ, ਪੀਅਰ-ਟੂ-ਪੀਅਰ, ਅਤੇ ਟਨਲਿੰਗ ਉਪਯੋਗਤਾਵਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ ਜਦੋਂ ਕਿ ਸਕੈਨਰਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ ਜੋ ਨਵੇਂ ਕਮਜ਼ੋਰ ਟੀਚਿਆਂ ਲਈ ਇੰਟਰਨੈਟ ਦੀ ਨਿਰੰਤਰ ਜਾਂਚ ਕਰਦੇ ਹਨ।

ਖਾਸ ਤੌਰ 'ਤੇ, proxy.sh ਰਨਟਾਈਮ ਵਾਤਾਵਰਣ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾ ਸਕੇ ਕਿ ਇਹ ਇੱਕ Kubernetes ਕਲੱਸਟਰ ਦੇ ਅੰਦਰ ਚੱਲ ਰਿਹਾ ਹੈ ਜਾਂ ਨਹੀਂ। ਜਦੋਂ ਅਜਿਹੇ ਵਾਤਾਵਰਣ ਦਾ ਪਤਾ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਸਕ੍ਰਿਪਟ ਇੱਕ ਵੱਖਰੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਮਾਰਗ ਦੀ ਪਾਲਣਾ ਕਰਦੀ ਹੈ ਅਤੇ ਕਲੱਸਟਰ-ਵਿਸ਼ੇਸ਼ ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ ਕਲਾਉਡ-ਨੇਟਿਵ ਟੀਚਿਆਂ ਲਈ ਸਮੂਹ ਦੇ ਅਨੁਕੂਲ ਪਹੁੰਚ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ।

ਸਹਾਇਕ ਪੇਲੋਡਾਂ ਦੇ ਇੱਕ ਉਪ ਸਮੂਹ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• scanner.py, ਜੋ ਕਿ Mine.sh ਰਾਹੀਂ ਵਿਕਲਪਿਕ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਦੇ ਨਾਲ, ਗਲਤ ਸੰਰਚਿਤ ਡੌਕਰ API ਅਤੇ ਰੇ ਡੈਸ਼ਬੋਰਡਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ DeadCatx3 ਨਾਲ ਜੁੜੇ ਇੱਕ GitHub ਖਾਤੇ ਤੋਂ CIDR ਰੇਂਜ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।
• kube.py, ਜੋ ਕਿ Kubernetes ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਹਾਰਵੈਸਟਿੰਗ, ਪੌਡਸ ਅਤੇ ਨੇਮਸਪੇਸ ਦੀ API-ਅਧਾਰਤ ਖੋਜ, ਪਹੁੰਚਯੋਗ ਪੌਡਸ ਦੁਆਰਾ ਪ੍ਰਸਾਰ, ਅਤੇ ਹਰੇਕ ਨੋਡ 'ਤੇ ਮਾਊਂਟ ਕੀਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਪੌਡਸ ਦੁਆਰਾ ਸਥਿਰਤਾ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ।
• react.py, ਜੋ ਕਿ ਪੈਮਾਨੇ 'ਤੇ ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ React ਕਮਜ਼ੋਰੀ (CVE-2025-29927) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ।
• pcpcat.py, ਜੋ ਕਿ ਐਕਸਪੋਜ਼ਡ ਡੌਕਰ API ਅਤੇ ਰੇ ਡੈਸ਼ਬੋਰਡਾਂ ਲਈ ਵੱਡੀਆਂ IP ਰੇਂਜਾਂ ਨੂੰ ਸਕੈਨ ਕਰਦਾ ਹੈ ਅਤੇ Base64-ਏਨਕੋਡਡ ਪੇਲੋਡ ਚਲਾਉਣ ਵਾਲੇ ਖਤਰਨਾਕ ਕੰਟੇਨਰਾਂ ਜਾਂ ਨੌਕਰੀਆਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ।

ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਅਤੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ 67.217.57[.]240 'ਤੇ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਨੋਡ ਨੂੰ ਓਪਰੇਸ਼ਨ ਨਾਲ ਜੋੜਿਆ ਹੈ, ਸਲਾਈਵਰ ਦੀ ਵਰਤੋਂ ਨਾਲ ਓਵਰਲੈਪ ਨੂੰ ਨੋਟ ਕੀਤਾ ਹੈ, ਇੱਕ ਜਾਇਜ਼ ਓਪਨ-ਸੋਰਸ C2 ਫਰੇਮਵਰਕ ਜੋ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੇ ਪੜਾਵਾਂ ਦੌਰਾਨ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਅਕਸਰ ਦੁਰਵਰਤੋਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਲਚਕੀਲੇਪਣ ਲਈ ਬਣਾਇਆ ਗਿਆ ਇੱਕ ਹਾਈਬ੍ਰਿਡ ਮੁਦਰੀਕਰਨ ਮਾਡਲ

PCPcat ਮੁਹਿੰਮ ਇੱਕ ਸੰਪੂਰਨ ਹਮਲੇ ਦੇ ਜੀਵਨ ਚੱਕਰ, ਸਕੈਨਿੰਗ, ਸ਼ੋਸ਼ਣ, ਸਥਿਰਤਾ, ਸੁਰੰਗ, ਡੇਟਾ ਚੋਰੀ, ਅਤੇ ਮੁਦਰੀਕਰਨ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜੋ ਕਿ ਖਾਸ ਤੌਰ 'ਤੇ ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। TeamPCP ਦੁਆਰਾ ਪੈਦਾ ਕੀਤਾ ਗਿਆ ਮੁੱਖ ਖ਼ਤਰਾ ਤਕਨੀਕੀ ਨਵੀਨਤਾ ਵਿੱਚ ਨਹੀਂ, ਸਗੋਂ ਕਾਰਜਸ਼ੀਲ ਏਕੀਕਰਣ ਅਤੇ ਪੈਮਾਨੇ ਵਿੱਚ ਹੈ। ਜ਼ਿਆਦਾਤਰ ਸ਼ੋਸ਼ਣ ਅਤੇ ਮਾਲਵੇਅਰ ਜਾਣੇ-ਪਛਾਣੇ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਹਲਕੇ ਤੌਰ 'ਤੇ ਸੋਧੇ ਹੋਏ ਓਪਨ-ਸੋਰਸ ਟੂਲਿੰਗ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ।

ਇਸ ਦੇ ਨਾਲ ਹੀ, ਇਹ ਸਮੂਹ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਦੁਰਵਰਤੋਂ ਨੂੰ ਡੇਟਾ ਚੋਰੀ ਅਤੇ ਜਬਰੀ ਵਸੂਲੀ ਨਾਲ ਮਿਲਾਉਂਦਾ ਹੈ। ਲੀਕ ਹੋਏ ਸੀਵੀ ਡੇਟਾਬੇਸ, ਪਛਾਣ ਰਿਕਾਰਡ, ਅਤੇ ਕਾਰਪੋਰੇਟ ਡੇਟਾ ਸ਼ੈੱਲਫੋਰਸ ਦੁਆਰਾ ਪ੍ਰਕਾਸ਼ਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਤਾਂ ਜੋ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਈਕੋਸਿਸਟਮ ਦੇ ਅੰਦਰ ਰੈਨਸਮਵੇਅਰ ਓਪਰੇਸ਼ਨਾਂ, ਧੋਖਾਧੜੀ ਅਤੇ ਸਾਖ-ਨਿਰਮਾਣ ਨੂੰ ਵਧਾਇਆ ਜਾ ਸਕੇ। ਇਹ ਦੋਹਰੀ ਮੁਦਰੀਕਰਨ ਰਣਨੀਤੀ, ਕੰਪਿਊਟ ਸਰੋਤਾਂ ਅਤੇ ਚੋਰੀ ਹੋਈ ਜਾਣਕਾਰੀ ਦੋਵਾਂ ਤੋਂ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ, ਕਈ ਮਾਲੀਆ ਸਰੋਤ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ ਅਤੇ ਵਿਘਨ ਅਤੇ ਟੇਕਡਾਊਨ ਦੇ ਵਿਰੁੱਧ ਲਚਕੀਲਾਪਣ ਵਧਾਉਂਦੀ ਹੈ।