TeamPCP Worm
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë gjithëpërfshirëse të drejtuar nga krimba që synon sistematikisht mjediset cloud-native për të ndërtuar infrastrukturë dashakeqe për shfrytëzim të mëvonshëm. Aktiviteti i lidhur me këtë operacion u vu re rreth 25 dhjetorit 2025, duke zbuluar një përpjekje të koordinuar për të abuzuar me shërbimet dhe dobësitë e ekspozuara në të gjitha platformat moderne cloud.
Tabela e Përmbajtjes
TeamPCP: Një grumbull kërcënimesh që po shfaqet me shpejtësi
Fushata i është atribuar një grumbulli kërcënimesh të gjurmuar si TeamPCP, i njohur edhe me pseudonime duke përfshirë DeadCatx3, PCPcat, PersyPCP dhe ShellForce. Provat sugjerojnë se grupi ka qenë operativ që të paktën në nëntor 2025, me aktivitet të lidhur me Telegram që daton që nga 30 korriku 2025. Kanali TeamPCP Telegram, i cili është rritur në më shumë se 700 anëtarë, përdoret për të publikuar të dhëna të vjedhura të lidhura me viktimat në Kanada, Serbi, Korenë e Jugut, Emiratet e Bashkuara Arabe dhe Shtetet e Bashkuara.
Studiuesit dokumentuan për herë të parë operacionet e aktorit në dhjetor 2025 nën përcaktimin Operacioni PCPcat.
Abuzimi oportunist i dobësive të Cloud-Native
TeamPCP operon si një platformë kundër krimit kibernetik e bazuar në cloud, duke përfituar nga ndërfaqet e ekspozuara të menaxhimit, konfigurimet e gabuara të zakonshme dhe dobësitë kritike, duke përfshirë edhe të metën e zbuluar së fundmi në React2Shell (CVE-2025-55182, CVSS 10.0). Rrugët kryesore të infeksionit të vëzhguara në fushatë përfshijnë:
API-të e ekspozuara të Docker, API-të e Kubernetes, panelet e kontrollit Ray, serverët Redis dhe aplikacionet e cenueshme React/Next.js
Këto dobësi nuk shfrytëzohen për të synuar industri specifike, por për të sekuestruar në mënyrë oportuniste infrastrukturën, më shpesh brenda mjediseve të Amazon Web Services dhe Microsoft Azure, duke i kthyer organizatat e prekura në viktima anësore.
Shfrytëzimi i industrializuar në shkallë të gjerë
Në vend që të mbështetet në teknika të reja, TeamPCP thekson shkallëzimin dhe automatizimin. Operacioni kombinon mjete të vendosura, dobësi të njohura dhe konfigurime të gabuara të dokumentuara gjerësisht për të industrializuar shfrytëzimin. Mjediset e kompromentuara transformohen në një ekosistem kriminal vetëpërhapës që mbështet skanimin, lëvizjen anësore, këmbënguljen dhe monetizimin.
Objektivat kryesore përfshijnë ndërtimin e infrastrukturës së shpërndarë të proxy-t dhe skanimit, nxjerrjen e të dhënave, vendosjen e ransomware-it, kryerjen e fushatave të zhvatjes dhe minierimin e kriptomonedhave. Asetet e kompromentuara ripërdoren gjithashtu për strehim të të dhënave, shërbime proxy dhe rele të komandës dhe kontrollit.
Ngarkesa Modulare dhe Mjete të Ndërgjegjshme për Cloud-in
Qasja fillestare e suksesshme mundëson shpërndarjen e ngarkesave dytësore nga serverat e jashtëm, zakonisht në formë shell ose Python, të dizajnuara për të zgjeruar shtrirjen e fushatës. Një komponent qendror, proxy.sh, instalon programe proxy, peer-to-peer dhe tunelimi, ndërsa vendos skanerë që vazhdimisht hetojnë internetin për objektiva të rinj të cenueshëm.
Veçanërisht, proxy.sh kryen fingerprinting të mjedisit të ekzekutimit për të përcaktuar nëse po ekzekutohet brenda një klasteri Kubernetes. Kur zbulohet një mjedis i tillë, skripti ndjek një rrugë të veçantë ekzekutimi dhe vendos ngarkesa specifike për klasterin, duke nënvizuar qasjen e përshtatur të grupit ndaj objektivave cloud-native.
Një nëngrup i ngarkesave mbështetëse përfshin:
- scanner.py, i cili shkarkon diapazone CIDR nga një llogari GitHub e lidhur me DeadCatx3 për të gjetur API-të e Docker të konfiguruara gabimisht dhe panelet e kontrollit Ray, me minierim opsional të kriptomonedhave nëpërmjet minierës mine.sh.
- kube.py, i cili përqendrohet në mbledhjen e kredencialeve të Kubernetes, zbulimin e pod-eve dhe hapësirave të emrave bazuar në API, përhapjen përmes pod-eve të aksesueshme dhe qëndrueshmërinë përmes pod-eve të privilegjuara të montuara në secilën nyje.
- react.py, i cili shfrytëzon një dobësi React (CVE-2025-29927) për të arritur ekzekutimin e komandave në distancë në shkallë të gjerë.
- pcpcat.py, i cili skanon diapazone të mëdha IP për API-të e ekspozuara të Docker dhe panelet e kontrollit Ray dhe vendos kontejnerë ose punë keqdashëse që ekzekutojnë ngarkesa të koduara në Base64.
Kapacitetet e Komandës dhe Kontrollit dhe Pas-Shfrytëzimit
Studiuesit kanë lidhur një nyje komande dhe kontrolli në 67.217.57[.]240 me operacionin, duke vënë re mbivendosje me përdorimin e Sliver, një kornizë legjitime me burim të hapur C2 që abuzohet shpesh nga aktorët kërcënues gjatë fazave pas shfrytëzimit.
Një model hibrid monetizimi i ndërtuar për qëndrueshmëri
Fushata PCPcat demonstron një cikël të plotë sulmi, skanim, shfrytëzim, këmbëngulje, tunelim, vjedhje të dhënash dhe monetizim, të projektuar posaçërisht për infrastrukturën cloud. Rreziku kryesor që paraqet TeamPCP nuk qëndron në inovacionin teknik, por në integrimin dhe shkallën operacionale. Shumica e shfrytëzimeve dhe programeve keqdashëse shfrytëzojnë dobësitë e njohura dhe mjetet me burim të hapur të modifikuara lehtë.
Në të njëjtën kohë, grupi përzien abuzimin me infrastrukturën me vjedhjen e të dhënave dhe zhvatjen. Bazat e të dhënave të CV-ve të rrjedhura, të dhënat e identitetit dhe të dhënat e korporatave publikohen përmes ShellForce për të nxitur operacionet e ransomware-it, mashtrimet dhe ndërtimin e reputacionit brenda ekosistemit të krimit kibernetik. Kjo strategji e dyfishtë e monetizimit, duke përfituar si nga burimet kompjuterike ashtu edhe nga informacioni i vjedhur, ofron rrjedha të shumëfishta të ardhurash dhe rrit rezistencën ndaj ndërprerjeve dhe mbylljeve.
