Червь TeamPCP
Исследователи в области кибербезопасности обнаружили масштабную кампанию, основанную на использовании вредоносных программ, которая систематически нацелена на облачные среды для создания вредоносной инфраструктуры с целью последующей эксплуатации. Активность, связанная с этой операцией, наблюдалась примерно 25 декабря 2025 года, что свидетельствует о скоординированных действиях по злоупотреблению открытыми сервисами и уязвимостями в современных облачных средах.
Оглавление
TeamPCP: Быстро развивающийся кластер угроз
Кампания приписывается группе угроз, отслеживаемой как TeamPCP, также известной под псевдонимами DeadCatx3, PCPcat, PersyPCP и ShellForce. Имеющиеся данные свидетельствуют о том, что группа действует как минимум с ноября 2025 года, а связанная с ней активность в Telegram датируется 30 июля 2025 года. Канал TeamPCP в Telegram, насчитывающий более 700 участников, используется для публикации украденных данных, связанных с жертвами в Канаде, Сербии, Южной Корее, Объединенных Арабских Эмиратах и США.
Впервые исследователи задокументировали деятельность этого актора в декабре 2025 года под обозначением Operation PCPcat.
Оппортунистическое злоупотребление слабостями облачных технологий.
TeamPCP функционирует как облачная платформа для киберпреступлений, используя уязвимые интерфейсы управления, распространенные ошибки конфигурации и критические уязвимости, включая недавно обнаруженную уязвимость React2Shell (CVE-2025-55182, CVSS 10.0). Основные пути заражения, наблюдаемые в ходе кампании, включают:
Доступ к открытым API Docker, API Kubernetes, панелям мониторинга Ray, серверам Redis и уязвимым приложениям React/Next.js.
Эти уязвимости используются не для того, чтобы атаковать конкретные отрасли, а для того, чтобы, воспользовавшись случаем, захватить инфраструктуру, чаще всего в средах Amazon Web Services и Microsoft Azure, превращая пострадавшие организации в косвенных жертв.
Масштабная промышленная эксплуатация
Вместо того чтобы полагаться на новые методы, TeamPCP делает акцент на масштабируемости и автоматизации. Операция сочетает в себе проверенные инструменты, известные уязвимости и широко задокументированные ошибки конфигурации для индустриализации эксплуатации. Компрометированные среды превращаются в самовоспроизводящуюся криминальную экосистему, которая поддерживает сканирование, горизонтальное перемещение, закрепление и монетизацию.
К основным целям относятся создание распределенной инфраструктуры прокси-серверов и сканирования, кража данных, развертывание программ-вымогателей, проведение кампаний по вымогательству и майнинг криптовалюты. Компрометированные активы также используются для размещения данных, прокси-сервисов и ретрансляторов управления.
Модульные полезные нагрузки и инструменты, адаптированные для облачных вычислений.
Успешный первоначальный доступ позволяет доставлять вторичные полезные нагрузки с внешних серверов, как правило, в виде командной строки или Python, предназначенные для расширения охвата кампании. Центральный компонент, proxy.sh, устанавливает утилиты для прокси-серверов, одноранговых сетей и туннелирования, а также развертывает сканеры, которые постоянно сканируют интернет на предмет новых уязвимых целей.
Примечательно, что proxy.sh выполняет идентификацию среды выполнения, чтобы определить, выполняется ли он внутри кластера Kubernetes. При обнаружении такой среды скрипт следует отдельному пути выполнения и развертывает полезные нагрузки, специфичные для кластера, что подчеркивает индивидуальный подход группы к облачным целевым платформам.
В число вспомогательных полезных нагрузок входят:
- scanner.py, который загружает диапазоны CIDR из учетной записи GitHub, связанной с DeadCatx3, для обнаружения неправильно настроенных API Docker и панелей мониторинга Ray, с возможностью майнинга криптовалюты с помощью mine.sh.
- kube.py — это библиотека, которая фокусируется на сборе учетных данных Kubernetes, обнаружении подов и пространств имен на основе API, распространении через доступные поды и обеспечении сохранения данных через привилегированные поды, смонтированные на каждом узле.
- react.py, который использует уязвимость React (CVE-2025-29927) для удаленного выполнения команд в масштабе.
- pcpcat.py, который сканирует большие диапазоны IP-адресов на предмет открытых API Docker и панелей мониторинга Ray, а также развертывает вредоносные контейнеры или задания, запускающие полезные нагрузки, закодированные в Base64.
Возможности управления и контроля, а также возможности постэксплуатации.
Исследователи связали узел управления и контроля по адресу 67.217.57[.]240 с этой операцией, отметив совпадения с использованием Sliver, легитимной платформы управления и контроля с открытым исходным кодом, часто используемой злоумышленниками на этапах после взлома.
Гибридная модель монетизации, разработанная для обеспечения устойчивости.
Кампания PCPcat демонстрирует полный жизненный цикл атаки: сканирование, эксплуатация, закрепление в системе, туннелирование, кража данных и монетизация, разработанный специально для облачной инфраструктуры. Основная опасность, исходящая от TeamPCP, заключается не в технических инновациях, а в операционной интеграции и масштабируемости. Большинство эксплойтов и вредоносных программ используют хорошо известные уязвимости и слегка модифицированные инструменты с открытым исходным кодом.
В то же время группа сочетает злоупотребление инфраструктурой с кражей данных и вымогательством. Утечки баз данных резюме, личных данных и корпоративных данных публикуются через ShellForce для подпитки операций по вымогательству, мошенничества и наращивания репутации в экосистеме киберпреступности. Эта стратегия двойной монетизации, позволяющая получать прибыль как от вычислительных ресурсов, так и от украденной информации, обеспечивает множественные потоки дохода и повышает устойчивость к сбоям и блокировкам.
