Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Viermele TeamPCP

Viermele TeamPCP

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware, Viermi
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o campanie amplă, bazată pe viermi informatici, care vizează sistematic mediile cloud-native pentru a construi o infrastructură malițioasă pentru exploatare ulterioară. Activitatea legată de această operațiune a fost observată în jurul datei de 25 decembrie 2025, dezvăluind un efort coordonat de a abuza de serviciile expuse și vulnerabilitățile din stivele cloud moderne.

TeamPCP: Un grup de amenințări în rapidă creștere

Campania a fost atribuită unui grup de amenințări identificat ca TeamPCP, cunoscut și sub pseudonime precum DeadCatx3, PCPcat, PersyPCP și ShellForce. Dovezile sugerează că grupul este operațional cel puțin din noiembrie 2025, activitatea conexă pe Telegram datând din 30 iulie 2025. Canalul Telegram TeamPCP, care a crescut la peste 700 de membri, este folosit pentru a publica date furate legate de victime din Canada, Serbia, Coreea de Sud, Emiratele Arabe Unite și Statele Unite.

Cercetătorii au documentat pentru prima dată operațiunile actorului în decembrie 2025, sub denumirea de Operațiunea PCPcat.

Abuz oportunist al punctelor slabe ale cloud-native

TeamPCP operează ca o platformă cloud-nativă pentru combaterea criminalității cibernetice, valorificând interfețele de administrare expuse, configurațiile greșite comune și vulnerabilitățile critice, inclusiv defectul React2Shell dezvăluit recent (CVE-2025-55182, CVSS 10.0). Principalele căi de infectare observate în cadrul campaniei includ:

API-uri Docker expuse, API-uri Kubernetes, tablouri de bord Ray, servere Redis și aplicații React/Next.js vulnerabile

Aceste slăbiciuni sunt exploatate nu pentru a viza industrii specifice, ci pentru a acapara în mod oportunist infrastructura, cel mai frecvent în mediile Amazon Web Services și Microsoft Azure, transformând organizațiile afectate în victime colaterale.

Exploatare industrializată la scară largă

În loc să se bazeze pe tehnici inovatoare, TeamPCP pune accent pe scalabilitate și automatizare. Operațiunea combină instrumente consacrate, vulnerabilități cunoscute și configurații greșite documentate pe scară largă pentru a industrializa exploatarea. Mediile compromise sunt transformate într-un ecosistem criminal auto-propagat care susține scanarea, mișcarea laterală, persistența și monetizarea.

Obiectivele generale includ construirea unei infrastructuri de proxy distribuite și de scanare, exfiltrarea datelor, implementarea de ransomware, desfășurarea de campanii de extorcare și extragerea de criptomonede. Activele compromise sunt, de asemenea, reutilizate pentru găzduire de date, servicii proxy și relee de comandă și control.

Sarcini utile modulare și instrumente Cloud-Aware

Accesul inițial reușit permite livrarea de sarcini utile secundare de la servere externe, de obicei în format shell sau Python, concepute pentru a extinde acoperirea campaniei. O componentă centrală, proxy.sh, instalează utilitare proxy, peer-to-peer și tunneling, implementând în același timp scanere care sondează continuu internetul pentru noi ținte vulnerabile.

În mod special, proxy.sh efectuează amprentarea mediului de execuție pentru a determina dacă acesta se execută în interiorul unui cluster Kubernetes. Când este detectat un astfel de mediu, scriptul urmează o cale de execuție separată și implementează sarcini utile specifice clusterului, subliniind abordarea personalizată a grupului față de țintele cloud-native.

Un subset al sarcinilor utile de suport include:

  • scanner.py, care descarcă intervalele CIDR dintr-un cont GitHub asociat cu DeadCatx3 pentru a localiza API-urile Docker și tablourile de bord Ray configurate greșit, cu minare opțională a criptomonedelor prin mine.sh
  • kube.py, care se concentrează pe colectarea credențialelor Kubernetes, descoperirea bazată pe API a pod-urilor și spațiilor de nume, propagarea prin pod-uri accesibile și persistența prin pod-uri privilegiate montate pe fiecare nod
  • react.py, care exploatează o vulnerabilitate React (CVE-2025-29927) pentru a realiza executarea comenzilor de la distanță la scară largă
  • pcpcat.py, care scanează intervale IP mari pentru API-uri Docker expuse și tablouri de bord Ray și implementează containere sau joburi rău intenționate care rulează sarcini utile codificate în Base64

Capacități de comandă și control și post-exploatare

Cercetătorii au conectat un nod de comandă și control la adresa 67.217.57[.]240 la operațiune, observând suprapuneri cu utilizarea Sliver, un framework C2 open-source legitim, frecvent utilizat în mod abuziv de către actorii amenințători în fazele post-exploatare.

Un model hibrid de monetizare construit pentru reziliență

Campania PCPcat demonstrează un ciclu complet de viață al atacului: scanare, exploatare, persistență, tunelare, furt de date și monetizare, conceput special pentru infrastructura cloud. Principalul pericol reprezentat de TeamPCP nu constă în inovația tehnică, ci în integrarea operațională și scalare. Majoritatea exploit-urilor și programelor malware valorifică vulnerabilități bine-cunoscute și instrumente open-source ușor modificate.

În același timp, grupul combină abuzul de infrastructură cu furtul de date și extorcarea. Baze de date cu CV-uri, înregistrări de identitate și date corporative scurse sunt publicate prin ShellForce pentru a alimenta operațiunile de ransomware, frauda și construirea reputației în cadrul ecosistemului criminalității cibernetice. Această strategie duală de monetizare, profitând atât de resursele de calcul, cât și de informațiile furate, oferă fluxuri multiple de venituri și crește rezistența împotriva perturbărilor și a eliminării datelor.

Trending

Cele mai văzute

Se încarcă...