Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Verme TeamPCP

Verme TeamPCP

Por Mezo em Ameaça Persistente Avançada (APT), Malware, Minhocas
Traduzir Para:

Pesquisadores de cibersegurança descobriram uma ampla campanha, impulsionada por um worm, que visa sistematicamente ambientes nativos da nuvem para construir infraestrutura maliciosa para posterior exploração. A atividade relacionada a essa operação foi observada por volta de 25 de dezembro de 2025, revelando um esforço coordenado para abusar de serviços expostos e vulnerabilidades em stacks de nuvem modernas.

TeamPCP: um cluster de ameaças em rápida ascensão

A campanha foi atribuída a um grupo de ameaças rastreado como TeamPCP, também conhecido por outros nomes como DeadCatx3, PCPcat, PersyPCP e ShellForce. Evidências sugerem que o grupo está em operação desde pelo menos novembro de 2025, com atividades relacionadas no Telegram datando de 30 de julho de 2025. O canal do TeamPCP no Telegram, que cresceu para mais de 700 membros, é usado para publicar dados roubados vinculados a vítimas no Canadá, Sérvia, Coreia do Sul, Emirados Árabes Unidos e Estados Unidos.

Os pesquisadores documentaram pela primeira vez as operações do agente em dezembro de 2025, sob a designação de Operação PCPcat.

Abuso oportunista de vulnerabilidades nativas da nuvem

O TeamPCP opera como uma plataforma de cibercrime nativa da nuvem, explorando interfaces de gerenciamento expostas, configurações incorretas comuns e vulnerabilidades críticas, incluindo a falha React2Shell recentemente divulgada (CVE-2025-55182, CVSS 10.0). As principais vias de infecção observadas na campanha incluem:

APIs do Docker expostas, APIs do Kubernetes, painéis do Ray, servidores Redis e aplicações React/Next.js vulneráveis.

Essas vulnerabilidades são exploradas não para atingir setores específicos, mas para se apropriar oportunisticamente de infraestruturas, mais frequentemente em ambientes da Amazon Web Services e do Microsoft Azure, transformando as organizações afetadas em vítimas colaterais.

Exploração industrializada em grande escala

Em vez de se basear em técnicas inovadoras, a TeamPCP enfatiza a escalabilidade e a automação. A operação combina ferramentas já estabelecidas, vulnerabilidades conhecidas e configurações incorretas amplamente documentadas para industrializar a exploração. Ambientes comprometidos são transformados em um ecossistema criminoso autoperpetuante que suporta varredura, movimentação lateral, persistência e monetização.

Os objetivos gerais incluem a construção de infraestrutura distribuída de proxy e varredura, a exfiltração de dados, a implantação de ransomware, a realização de campanhas de extorsão e a mineração de criptomoedas. Os ativos comprometidos também são reaproveitados para hospedagem de dados, serviços de proxy e retransmissão de comando e controle.

Cargas úteis modulares e ferramentas adaptadas à nuvem

O acesso inicial bem-sucedido permite a entrega de payloads secundários a partir de servidores externos, geralmente em formato shell ou Python, projetados para expandir o alcance da campanha. Um componente central, proxy.sh, instala utilitários de proxy, peer-to-peer e tunelamento, além de implantar scanners que sondam continuamente a internet em busca de novos alvos vulneráveis.

Notavelmente, o proxy.sh realiza uma análise do ambiente de execução para determinar se está sendo executado dentro de um cluster Kubernetes. Quando tal ambiente é detectado, o script segue um caminho de execução separado e implanta payloads específicos do cluster, reforçando a abordagem personalizada do grupo para destinos nativos da nuvem.

Um subconjunto das cargas úteis de suporte inclui:

  • O script scanner.py baixa intervalos CIDR de uma conta do GitHub associada ao DeadCatx3 para localizar APIs do Docker e painéis do Ray mal configurados, com mineração opcional de criptomoedas via mine.sh.
  • O kube.py concentra-se na coleta de credenciais do Kubernetes, na descoberta de pods e namespaces baseada em API, na propagação por meio de pods acessíveis e na persistência por meio de pods privilegiados montados em cada nó.
  • react.py, que explora uma vulnerabilidade do React (CVE-2025-29927) para realizar execução remota de comandos em larga escala.
  • O arquivo pcpcat.py, que examina grandes intervalos de IP em busca de APIs do Docker e painéis do Ray expostos, implanta contêineres ou tarefas maliciosas executando payloads codificados em Base64.

Capacidades de comando e controle e pós-exploração

Os pesquisadores associaram um nó de comando e controle em 67.217.57[.]240 à operação, observando sobreposições com o uso do Sliver, uma estrutura C2 legítima de código aberto frequentemente abusada por agentes de ameaças durante as fases pós-exploração.

Um modelo de monetização híbrido criado para resiliência.

A campanha PCPcat demonstra um ciclo de ataque completo, incluindo varredura, exploração, persistência, tunelamento, roubo de dados e monetização, projetado especificamente para infraestrutura em nuvem. O principal perigo representado pelo TeamPCP não reside na inovação técnica, mas na integração operacional e na escalabilidade. A maioria dos exploits e malwares explora vulnerabilidades conhecidas e ferramentas de código aberto levemente modificadas.

Ao mesmo tempo, o grupo combina o abuso de infraestrutura com roubo de dados e extorsão. Bancos de dados de currículos vazados, registros de identidade e dados corporativos são publicados por meio do ShellForce para financiar operações de ransomware, fraudes e construção de reputação dentro do ecossistema do cibercrime. Essa estratégia de dupla monetização, lucrando tanto com recursos computacionais quanto com informações roubadas, proporciona múltiplas fontes de receita e aumenta a resiliência contra interrupções e bloqueios.

Tendendo

Mais visto

Carregando...