Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) TeamPCP-mask

TeamPCP-mask

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara, Maskar
Översätt till:

Cybersäkerhetsforskare har avslöjat en omfattande, maskdriven kampanj som systematiskt riktar in sig på molnbaserade miljöer för att bygga skadlig infrastruktur för senare utnyttjande. Aktivitet kopplad till denna operation observerades runt den 25 december 2025, vilket avslöjade en samordnad insats för att missbruka exponerade tjänster och sårbarheter i moderna molnstackar.

TeamPCP: Ett snabbt framväxande hotkluster

Kampanjen har tillskrivits ett hotkluster som spåras som TeamPCP, även känt under alias inklusive DeadCatx3, PCPcat, PersyPCP och ShellForce. Bevis tyder på att gruppen har varit verksam sedan åtminstone november 2025, med relaterad Telegram-aktivitet som går tillbaka till den 30 juli 2025. TeamPCP Telegram-kanalen, som har vuxit till mer än 700 medlemmar, används för att publicera stulen data kopplad till offer i Kanada, Serbien, Sydkorea, Förenade Arabemiraten och USA.

Forskare dokumenterade först skådespelarens operationer i december 2025 under beteckningen Operation PCPcat.

Opportunistiskt missbruk av molnbaserade svagheter

TeamPCP fungerar som en molnbaserad plattform för cyberbrottslighet och drar nytta av exponerade hanteringsgränssnitt, vanliga felkonfigurationer och kritiska sårbarheter, inklusive den nyligen avslöjade React2Shell-bristen (CVE-2025-55182, CVSS 10.0). De primära infektionsvägarna som observerades i kampanjen inkluderar:

Exponerade Docker API:er, Kubernetes API:er, Ray-dashboards, Redis-servrar och sårbara React/Next.js-applikationer

Dessa svagheter utnyttjas inte för att rikta in sig på specifika branscher, utan för att opportunistiskt ta över infrastruktur, oftast inom Amazon Web Services och Microsoft Azure-miljöer, vilket gör berörda organisationer till oåterkalleliga offer.

Industrialiserad exploatering i stor skala

Istället för att förlita sig på nya tekniker betonar TeamPCP skalbarhet och automatisering. Verksamheten kombinerar etablerade verktyg, kända sårbarheter och allmänt dokumenterade felkonfigurationer för att industrialisera exploatering. Komprometterade miljöer omvandlas till ett självspridande kriminellt ekosystem som stöder skanning, lateral förflyttning, persistens och intäktsgenerering.

De övergripande målen inkluderar att bygga distribuerad proxy- och skanningsinfrastruktur, exfiltrera data, distribuera ransomware, genomföra utpressningskampanjer och utvinna kryptovaluta. Kompromitterade tillgångar återanvänds också för datahosting, proxytjänster och kommando- och kontrollreläer.

Modulära nyttolaster och molnanpassade verktyg

Lyckad initial åtkomst möjliggör leverans av sekundära nyttolaster från externa servrar, vanligtvis i shell- eller Python-form, utformade för att utöka kampanjens räckvidd. En central komponent, proxy.sh, installerar proxy-, peer-to-peer- och tunnelverktyg samtidigt som den distribuerar skannrar som kontinuerligt söker igenom internet efter nya sårbara mål.

Det är värt att notera att proxy.sh utför fingeravtryck i runtime-miljön för att avgöra om den körs inuti ett Kubernetes-kluster. När en sådan miljö upptäcks följer skriptet en separat körningsväg och distribuerar klusterspecifika nyttolaster, vilket understryker gruppens skräddarsydda tillvägagångssätt för molnbaserade mål.

En delmängd av de stödjande nyttolasten inkluderar:

  • scanner.py, som laddar ner CIDR-intervall från ett GitHub-konto kopplat till DeadCatx3 för att hitta felkonfigurerade Docker API:er och Ray-dashboards, med valfri kryptovalutautvinning via mine.sh
  • kube.py, som fokuserar på insamling av Kubernetes autentiseringsuppgifter, API-baserad identifiering av poddar och namnrymder, spridning genom tillgängliga poddar och persistens via privilegierade poddar monterade på varje nod.
  • react.py, som utnyttjar en React-sårbarhet (CVE-2025-29927) för att utföra fjärrkommandon i stor skala.
  • pcpcat.py, som skannar stora IP-intervall efter exponerade Docker API:er och Ray-instrumentpaneler och distribuerar skadliga containrar eller jobb som kör Base64-kodade nyttolaster

Kommando- och kontrollfunktioner och efterexploateringskapacitet

Forskare har kopplat en kommando- och kontrollnod på 67.217.57[.]240 till operationen och noterat överlappningar med användningen av Sliver, ett legitimt C2-ramverk med öppen källkod som ofta missbrukas av hotaktörer under faser efter utnyttjande.

En hybrid intäktsgenereringsmodell byggd för motståndskraft

PCPcat-kampanjen demonstrerar en komplett attacklivscykel, skanning, utnyttjande, persistens, tunneling, datastöld och intäktsgenerering, konstruerad specifikt för molninfrastruktur. Den primära faran med TeamPCP ligger inte i teknisk innovation, utan i operativ integration och skalning. De flesta exploateringar och skadlig kod utnyttjar välkända sårbarheter och lätt modifierade verktyg med öppen källkod.

Samtidigt blandar gruppen infrastrukturmissbruk med datastöld och utpressning. Läckta CV-databaser, identitetsregister och företagsdata publiceras via ShellForce för att driva ransomware-operationer, bedrägerier och ryktesbyggande inom cyberbrottslighetsekosystemet. Denna dubbla intäktsstrategi, som drar nytta av både beräkningsresurser och stulen information, ger flera intäktsströmmar och ökar motståndskraften mot störningar och nedtagningar.

Trendigt

Mest sedda

Läser in...