Robak TeamPCP

Badacze cyberbezpieczeństwa odkryli szeroko zakrojoną kampanię opartą na robakach, która systematycznie atakuje środowiska chmurowe w celu zbudowania złośliwej infrastruktury, która następnie może zostać wykorzystana. Aktywność związana z tą operacją została zaobserwowana około 25 grudnia 2025 roku, co wskazuje na skoordynowane działania mające na celu wykorzystanie ujawnionych usług i luk w zabezpieczeniach nowoczesnych stosów chmurowych.

TeamPCP: Szybko rozwijający się klaster zagrożeń

Kampania została przypisana grupie zagrożeń śledzonej jako TeamPCP, znanej również pod pseudonimami DeadCatx3, PCPcat, PersyPCP i ShellForce. Dowody wskazują, że grupa działa co najmniej od listopada 2025 roku, a powiązana z nią aktywność na Telegramie sięga 30 lipca 2025 roku. Kanał TeamPCP na Telegramie, który rozrósł się do ponad 700 użytkowników, jest wykorzystywany do publikowania skradzionych danych powiązanych z ofiarami z Kanady, Serbii, Korei Południowej, Zjednoczonych Emiratów Arabskich i Stanów Zjednoczonych.

Naukowcy po raz pierwszy udokumentowali działania aktora w grudniu 2025 r. pod nazwą Operation PCPcat.

Oportunistyczne wykorzystywanie słabości rozwiązań chmurowych

TeamPCP działa jako chmurowa platforma do cyberprzestępczości, wykorzystując ujawnione interfejsy zarządzania, typowe błędy konfiguracji i krytyczne luki w zabezpieczeniach, w tym niedawno ujawnioną lukę w React2Shell (CVE-2025-55182, CVSS 10.0). Główne ścieżki infekcji zaobserwowane w kampanii to:

Odsłonięte interfejsy API Dockera, interfejsy API Kubernetesa, pulpity nawigacyjne Ray, serwery Redis i podatne na ataki aplikacje React/Next.js

Słabości te nie są wykorzystywane do atakowania konkretnych branż, ale do oportunistycznego przejmowania infrastruktury, najczęściej w środowiskach Amazon Web Services i Microsoft Azure, w wyniku czego dotknięte nimi organizacje stają się przypadkowymi ofiarami.

Przemysłowa eksploatacja na dużą skalę

Zamiast polegać na nowatorskich technikach, TeamPCP stawia na skalę i automatyzację. Operacja łączy sprawdzone narzędzia, znane luki w zabezpieczeniach i powszechnie udokumentowane błędy konfiguracji, aby uprzemysłowić eksploatację. Zainfekowane środowiska przekształcają się w samonapędzający się ekosystem przestępczy, który obsługuje skanowanie, ruch boczny, trwałość i monetyzację.

Nadrzędne cele obejmują budowę rozproszonej infrastruktury proxy i skanowania, eksfiltrację danych, wdrażanie ransomware, przeprowadzanie kampanii wymuszeń oraz wydobywanie kryptowalut. Zainfekowane zasoby są również wykorzystywane do hostingu danych, usług proxy i przekaźników poleceń.

Modułowe ładunki i narzędzia obsługujące chmurę

Udany dostęp początkowy umożliwia dostarczenie dodatkowych ładunków z serwerów zewnętrznych, zazwyczaj w formie powłoki lub Pythona, zaprojektowanych w celu rozszerzenia zasięgu kampanii. Centralny komponent, proxy.sh, instaluje narzędzia proxy, peer-to-peer i tunelowania, jednocześnie wdrażając skanery, które stale przeszukują internet w poszukiwaniu nowych podatnych celów.

Warto zauważyć, że proxy.sh przeprowadza odcisk palca środowiska wykonawczego, aby ustalić, czy działa w klastrze Kubernetes. Po wykryciu takiego środowiska skrypt podąża oddzielną ścieżką wykonania i wdraża ładunki specyficzne dla klastra, co podkreśla indywidualne podejście grupy do celów natywnych dla chmury.

Podzbiór ładunków pomocniczych obejmuje:

• scanner.py, który pobiera zakresy CIDR z konta GitHub powiązanego z DeadCatx3 w celu zlokalizowania nieprawidłowo skonfigurowanych interfejsów API Docker i pulpitów nawigacyjnych Ray, z opcjonalnym wydobywaniem kryptowaluty za pomocą mine.sh
• kube.py, który koncentruje się na zbieraniu danych uwierzytelniających Kubernetes, wyszukiwaniu kontenerów i przestrzeni nazw na podstawie interfejsu API, propagacji przez dostępne kontenery i trwałości za pośrednictwem uprzywilejowanych kontenerów zamontowanych na każdym węźle
• react.py, który wykorzystuje lukę w zabezpieczeniach React (CVE-2025-29927) w celu umożliwienia zdalnego wykonywania poleceń na dużą skalę
• pcpcat.py, który skanuje duże zakresy adresów IP w poszukiwaniu narażonych interfejsów API Docker i pulpitów nawigacyjnych Ray oraz wdraża złośliwe kontenery lub zadania uruchamiające ładunki zakodowane w formacie Base64

Możliwości dowodzenia i kontroli oraz działania poeksploatacyjne

Naukowcy powiązali węzeł dowodzenia i kontroli pod adresem 67.217.57[.]240 z operacją, zauważając nakładanie się z wykorzystaniem Sliver, legalnego, otwartego oprogramowania C2, często nadużywanego przez osoby stwarzające zagrożenia w fazach po eksploatacji.

Hybrydowy model monetyzacji stworzony z myślą o odporności

Kampania PCPcat demonstruje kompletny cykl życia ataku, obejmujący skanowanie, eksploatację, trwałość, tunelowanie, kradzież danych i monetyzację, zaprojektowany specjalnie dla infrastruktury chmurowej. Główne zagrożenie ze strony TeamPCP nie leży w innowacjach technicznych, lecz w integracji operacyjnej i skali. Większość exploitów i złośliwego oprogramowania wykorzystuje dobrze znane luki w zabezpieczeniach i lekko zmodyfikowane narzędzia open source.

Jednocześnie grupa łączy nadużycia infrastruktury z kradzieżą danych i wymuszeniami. Wyciekłe bazy danych CV, dane tożsamości i dane korporacyjne są publikowane za pośrednictwem ShellForce, co napędza operacje ransomware, oszustwa i budowanie reputacji w ekosystemie cyberprzestępczości. Ta podwójna strategia monetyzacji, wykorzystująca zarówno zasoby obliczeniowe, jak i skradzione informacje, zapewnia wiele źródeł dochodu i zwiększa odporność na zakłócenia i ataki.