TeamPCP Worm

సైబర్ సెక్యూరిటీ పరిశోధకులు క్లౌడ్-స్థానిక వాతావరణాలను క్రమపద్ధతిలో లక్ష్యంగా చేసుకుని, తదుపరి దోపిడీ కోసం హానికరమైన మౌలిక సదుపాయాలను నిర్మించే ఒక విస్తృతమైన, వార్మ్-ఆధారిత ప్రచారాన్ని కనుగొన్నారు. ఈ ఆపరేషన్‌తో ముడిపడి ఉన్న కార్యాచరణ డిసెంబర్ 25, 2025న గమనించబడింది, ఇది ఆధునిక క్లౌడ్ స్టాక్‌లలో బహిర్గత సేవలు మరియు దుర్బలత్వాలను దుర్వినియోగం చేయడానికి సమన్వయంతో చేసిన ప్రయత్నాన్ని వెల్లడించింది.

టీంపీసీపీ: వేగంగా ఉద్భవిస్తున్న ముప్పుల సమూహం

ఈ ప్రచారం TeamPCPగా ట్రాక్ చేయబడిన బెదిరింపు క్లస్టర్‌కు ఆపాదించబడింది, దీనిని DeadCatx3, PCPcat, PersyPCP మరియు ShellForce వంటి మారుపేర్లతో కూడా పిలుస్తారు. ఈ సమూహం కనీసం నవంబర్ 2025 నుండి పనిచేస్తుందని, సంబంధిత టెలిగ్రామ్ కార్యకలాపాలు జూలై 30, 2025 నాటివని ఆధారాలు సూచిస్తున్నాయి. 700 కంటే ఎక్కువ మంది సభ్యులకు పెరిగిన TeamPCP టెలిగ్రామ్ ఛానెల్, కెనడా, సెర్బియా, దక్షిణ కొరియా, యునైటెడ్ అరబ్ ఎమిరేట్స్ మరియు యునైటెడ్ స్టేట్స్‌లోని బాధితులకు సంబంధించిన దొంగిలించబడిన డేటాను ప్రచురించడానికి ఉపయోగించబడుతుంది.

పరిశోధకులు మొదట డిసెంబర్ 2025లో ఆపరేషన్ PCPcat అనే హోదాలో నటుడి కార్యకలాపాలను డాక్యుమెంట్ చేశారు.

క్లౌడ్-స్థానిక బలహీనతల అవకాశవాద దుర్వినియోగం

TeamPCP క్లౌడ్-స్థానిక సైబర్ క్రైమ్ ప్లాట్‌ఫామ్‌గా పనిచేస్తుంది, బహిర్గత నిర్వహణ ఇంటర్‌ఫేస్‌లు, సాధారణ తప్పు కాన్ఫిగరేషన్‌లు మరియు ఇటీవల వెల్లడించిన React2Shell లోపం (CVE-2025-55182, CVSS 10.0)తో సహా క్లిష్టమైన దుర్బలత్వాలను ఉపయోగించుకుంటుంది. ప్రచారంలో గమనించిన ప్రాథమిక సంక్రమణ మార్గాలు:

బహిర్గత డాకర్ APIలు, Kubernetes APIలు, Ray డాష్‌బోర్డ్‌లు, Redis సర్వర్‌లు మరియు దుర్బలమైన React/Next.js అప్లికేషన్‌లు

ఈ బలహీనతలను నిర్దిష్ట పరిశ్రమలను లక్ష్యంగా చేసుకోవడానికి కాకుండా, అవకాశవాదంగా మౌలిక సదుపాయాలను స్వాధీనం చేసుకోవడానికి ఉపయోగించుకుంటున్నారు, చాలా తరచుగా అమెజాన్ వెబ్ సర్వీసెస్ మరియు మైక్రోసాఫ్ట్ అజూర్ పరిసరాలలో, ప్రభావిత సంస్థలను అనుషంగిక బాధితులుగా మారుస్తున్నారు.

స్థాయిలో పారిశ్రామిక దోపిడీ

కొత్త పద్ధతులపై ఆధారపడటానికి బదులుగా, TeamPCP స్కేల్ మరియు ఆటోమేషన్‌కు ప్రాధాన్యత ఇస్తుంది. ఈ ఆపరేషన్ దోపిడీని పారిశ్రామికీకరించడానికి స్థాపించబడిన సాధనాలు, తెలిసిన దుర్బలత్వాలు మరియు విస్తృతంగా డాక్యుమెంట్ చేయబడిన తప్పు కాన్ఫిగరేషన్‌లను మిళితం చేస్తుంది. రాజీపడిన వాతావరణాలు స్కానింగ్, పార్శ్వ కదలిక, నిలకడ మరియు డబ్బు ఆర్జనకు మద్దతు ఇచ్చే స్వీయ-ప్రచార నేర పర్యావరణ వ్యవస్థగా రూపాంతరం చెందుతాయి.

పంపిణీ చేయబడిన ప్రాక్సీ మరియు స్కానింగ్ మౌలిక సదుపాయాలను నిర్మించడం, డేటాను బయటకు పంపడం, రాన్సమ్‌వేర్‌ను అమలు చేయడం, దోపిడీ ప్రచారాలను నిర్వహించడం మరియు క్రిప్టోకరెన్సీని మైనింగ్ చేయడం వంటి లక్ష్యాలు ఉన్నాయి. రాజీపడిన ఆస్తులు డేటా హోస్టింగ్, ప్రాక్సీ సేవలు మరియు కమాండ్-అండ్-కంట్రోల్ రిలేల కోసం కూడా తిరిగి ఉపయోగించబడతాయి.

మాడ్యులర్ పేలోడ్‌లు మరియు క్లౌడ్-అవేర్ టూలింగ్

విజయవంతమైన ప్రారంభ యాక్సెస్ బాహ్య సర్వర్‌ల నుండి ద్వితీయ పేలోడ్‌లను డెలివరీ చేయడానికి వీలు కల్పిస్తుంది, సాధారణంగా షెల్ లేదా పైథాన్ రూపంలో, ప్రచారం యొక్క పరిధిని విస్తరించడానికి రూపొందించబడింది. కేంద్ర భాగం, proxy.sh, ప్రాక్సీ, పీర్-టు-పీర్ మరియు టన్నెలింగ్ యుటిలిటీలను ఇన్‌స్టాల్ చేస్తుంది, అదే సమయంలో కొత్త దుర్బల లక్ష్యాల కోసం ఇంటర్నెట్‌ను నిరంతరం పరిశీలించే స్కానర్‌లను అమలు చేస్తుంది.

ముఖ్యంగా, కుబెర్నెట్స్ క్లస్టర్ లోపల అమలు అవుతుందో లేదో తెలుసుకోవడానికి proxy.sh రన్‌టైమ్ ఎన్విరాన్‌మెంట్ ఫింగర్‌ప్రింటింగ్‌ను నిర్వహిస్తుంది. అటువంటి వాతావరణం గుర్తించబడినప్పుడు, స్క్రిప్ట్ ప్రత్యేక అమలు మార్గాన్ని అనుసరిస్తుంది మరియు క్లస్టర్-నిర్దిష్ట పేలోడ్‌లను అమలు చేస్తుంది, ఇది క్లౌడ్-స్థానిక లక్ష్యాలకు సమూహం యొక్క అనుకూలీకరించిన విధానాన్ని నొక్కి చెబుతుంది.

సహాయక పేలోడ్‌ల ఉపసమితిలో ఇవి ఉన్నాయి:

• scanner.py, ఇది deadCatx3 తో అనుబంధించబడిన GitHub ఖాతా నుండి CIDR శ్రేణులను డౌన్‌లోడ్ చేస్తుంది, ఇది తప్పుగా కాన్ఫిగర్ చేయబడిన డాకర్ API లు మరియు రే డాష్‌బోర్డ్‌లను గుర్తించడానికి, mine.sh ద్వారా ఐచ్ఛిక క్రిప్టోకరెన్సీ మైనింగ్‌తో ఉంటుంది.
• kube.py, ఇది కుబెర్నెట్స్ క్రెడెన్షియల్ హార్వెస్టింగ్, పాడ్‌లు మరియు నేమ్‌స్పేస్‌ల API- ఆధారిత ఆవిష్కరణ, యాక్సెస్ చేయగల పాడ్‌ల ద్వారా ప్రచారం మరియు ప్రతి నోడ్‌పై అమర్చబడిన ప్రివిలేజ్డ్ పాడ్‌ల ద్వారా నిలకడపై దృష్టి పెడుతుంది.
• react.py, ఇది స్కేల్ వద్ద రిమోట్ కమాండ్ అమలును సాధించడానికి రియాక్ట్ దుర్బలత్వాన్ని (CVE-2025-29927) ఉపయోగించుకుంటుంది.
• pcpcat.py, ఇది బహిర్గతమైన డాకర్ APIలు మరియు రే డాష్‌బోర్డ్‌ల కోసం పెద్ద IP పరిధులను స్కాన్ చేస్తుంది మరియు Base64-ఎన్‌కోడ్ చేసిన పేలోడ్‌లను అమలు చేసే హానికరమైన కంటైనర్లు లేదా ఉద్యోగాలను అమలు చేస్తుంది.

కమాండ్-అండ్-కంట్రోల్ మరియు దోపిడీ తర్వాత సామర్థ్యాలు

పరిశోధకులు 67.217.57[.]240 వద్ద ఉన్న కమాండ్-అండ్-కంట్రోల్ నోడ్‌ను ఆపరేషన్‌కు లింక్ చేశారు, దోపిడీ తర్వాత దశల్లో బెదిరింపు నటులు తరచుగా దుర్వినియోగం చేసే చట్టబద్ధమైన ఓపెన్-సోర్స్ C2 ఫ్రేమ్‌వర్క్ అయిన స్లివర్ వాడకంతో అతివ్యాప్తులను గుర్తించారు.

స్థితిస్థాపకత కోసం రూపొందించబడిన హైబ్రిడ్ మానిటైజేషన్ మోడల్

PCPcat ప్రచారం క్లౌడ్ మౌలిక సదుపాయాల కోసం ప్రత్యేకంగా రూపొందించబడిన పూర్తి దాడి జీవితచక్రం, స్కానింగ్, దోపిడీ, నిలకడ, టన్నెలింగ్, డేటా దొంగతనం మరియు డబ్బు ఆర్జనను ప్రదర్శిస్తుంది. TeamPCP ద్వారా ఎదురయ్యే ప్రాథమిక ప్రమాదం సాంకేతిక ఆవిష్కరణలో కాదు, కార్యాచరణ ఏకీకరణ మరియు స్థాయిలో ఉంది. చాలా దోపిడీలు మరియు మాల్వేర్ ప్రసిద్ధ దుర్బలత్వాలను మరియు తేలికగా సవరించిన ఓపెన్-సోర్స్ సాధనాలను ప్రభావితం చేస్తాయి.

అదే సమయంలో, ఈ గ్రూప్ మౌలిక సదుపాయాల దుర్వినియోగాన్ని డేటా దొంగతనం మరియు దోపిడీతో మిళితం చేస్తుంది. లీకైన CV డేటాబేస్‌లు, గుర్తింపు రికార్డులు మరియు కార్పొరేట్ డేటా షెల్‌ఫోర్స్ ద్వారా ప్రచురించబడతాయి, ఇవి రాన్సమ్‌వేర్ కార్యకలాపాలు, మోసం మరియు సైబర్ క్రైమ్ పర్యావరణ వ్యవస్థలో ఖ్యాతిని పెంపొందించడానికి ఆజ్యం పోస్తాయి. కంప్యూట్ వనరులు మరియు దొంగిలించబడిన సమాచారం రెండింటి నుండి లాభం పొందే ఈ ద్వంద్వ మానిటైజేషన్ వ్యూహం బహుళ ఆదాయ మార్గాలను అందిస్తుంది మరియు అంతరాయం మరియు తొలగింపులకు వ్యతిరేకంగా స్థితిస్థాపకతను పెంచుతుంది.