TeamPCP црв
Истраживачи сајбер безбедности открили су свеобухватну кампању вођену црвима која систематски циља cloud-нативна окружења како би изградила злонамерну инфраструктуру за каснију експлоатацију. Активност повезана са овом операцијом примећена је око 25. децембра 2025. године, откривајући координисани напор злоупотребе изложених сервиса и рањивости у модерним cloud стековима.
Преглед садржаја
TeamPCP: Брзо растући кластер претњи
Кампања је приписана групи претњи праћеној као TeamPCP, познатој и под псеудонимима као што су DeadCatx3, PCPcat, PersyPCP и ShellForce. Докази указују на то да је група оперативна најмање од новембра 2025. године, а повезане активности на Телеграму датирају од 30. јула 2025. Телеграм канал TeamPCP, који је порастао на више од 700 чланова, користи се за објављивање украдених података повезаних са жртвама у Канади, Србији, Јужној Кореји, Уједињеним Арапским Емиратима и Сједињеним Државама.
Истраживачи су први пут документовали операције актера у децембру 2025. године под ознаком Операција PCPcat.
Опортунистичка злоупотреба слабости cloud-native технологија
TeamPCP функционише као cloud-native платформа за сајбер криминал, користећи откривене управљачке интерфејсе, уобичајене погрешне конфигурације и критичне рањивости, укључујући недавно откривену грешку React2Shell (CVE-2025-55182, CVSS 10.0). Примарни путеви инфекције примећени у кампањи укључују:
Изложени Docker API-ји, Kubernetes API-ји, Ray контролне табле, Redis сервери и рањиве React/Next.js апликације
Ове слабости се искоришћавају не за циљање одређених индустрија, већ за опортунистичко преузимање инфраструктуре, најчешће унутар окружења Amazon Web Services и Microsoft Azure, претварајући погођене организације у колатералне жртве.
Индустријална експлоатација у великим размерама
Уместо да се ослања на нове технике, TeamPCP наглашава обим и аутоматизацију. Операција комбинује успостављене алате, познате рањивости и широко документоване погрешне конфигурације како би индустријализовала експлоатацију. Компромитована окружења се трансформишу у саморазмножавајући криминални екосистем који подржава скенирање, латерално кретање, истрајност и монетизацију.
Свеобухватни циљеви укључују изградњу дистрибуиране прокси инфраструктуре и скенирања, изнуду података, распоређивање ransomware-а, спровођење кампања изнуде и рударење криптовалута. Угрожена средства се такође пренамењују за хостовање података, прокси сервисе и релеје за командовање и контролу.
Модуларни корисни терет и алати прилагођени облаку
Успешан почетни приступ омогућава испоруку секундарних корисних података са екстерних сервера, обично у облику shell-а или Python-а, дизајнираних да прошире досег кампање. Централна компонента, proxy.sh, инсталира прокси, peer-to-peer и услужне програме за тунелирање, док истовремено распоређује скенере који континуирано испитују интернет у потрази за новим рањивим циљевима.
Приметно је да proxy.sh врши отисак прста у окружењу за извршавање како би утврдио да ли се извршава унутар Kubernetes кластера. Када се такво окружење открије, скрипта прати посебну путању извршавања и распоређује корисне оптерећења специфична за кластер, истичући прилагођени приступ групе циљевима у облаку.
Подскуп пратећих корисних оптерећења укључује:
- scanner.py, који преузима CIDR опсеге са GitHub налога повезаног са DeadCatx3 како би лоцирао погрешно конфигурисане Docker API-је и Ray контролне табле, са опционим рударењем криптовалута путем mine.sh
- kube.py, који се фокусира на прикупљање акредитива из Kubernetes-а, откривање подова и именских простора засновано на API-ју, пропагацију кроз доступне подове и перзистенцију путем привилегованих подова монтираних на сваком чвору.
- react.py, који искоришћава рањивост React-а (CVE-2025-29927) да би постигао даљинско извршавање команди у великим размерама
- pcpcat.py, који скенира велике IP опсеге за откривене Docker API-је и Ray контролне табле и распоређује злонамерне контејнере или задатке који покрећу Base64-кодиране корисне оптерећења
Командно-контролне и пост-експлоатационе могућности
Истраживачи су повезали командно-контролни чвор на адреси 67.217.57[.]240 са операцијом, примећујући преклапања са коришћењем Сливера, легитимног C2 оквира отвореног кода који често злоупотребљавају актери претњи током фаза након експлоатације.
Хибридни модел монетизације изграђен за отпорност
Кампања PCPcat демонстрира комплетан животни циклус напада, скенирање, експлоатацију, перзистентност, тунелирање, крађу података и монетизацију, посебно дизајниран за клауд инфраструктуру. Примарна опасност коју представља TeamPCP не лежи у техничким иновацијама, већ у оперативној интеграцији и обиму. Већина експлоатације и злонамерног софтвера користи добро познате рањивости и благо модификоване алате отвореног кода.
Истовремено, група комбинује злоупотребу инфраструктуре са крађом података и изнудом. Процуреле базе података биографија, идентитетски записи и корпоративни подаци објављују се путем ShellForce-а како би се подстакле операције рансомвера, преваре и изградња репутације унутар екосистема сајбер криминала. Ова двострука стратегија монетизације, која профитира и од рачунарских ресурса и од украдених информација, обезбеђује вишеструке токове прихода и повећава отпорност на поремећаје и уклањања.
