เวิร์ม TeamPCP
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญโจมตีขนาดใหญ่ที่ขับเคลื่อนด้วยเวิร์ม ซึ่งมุ่งเป้าไปที่สภาพแวดล้อมคลาวด์เนทีฟอย่างเป็นระบบ เพื่อสร้างโครงสร้างพื้นฐานที่เป็นอันตรายสำหรับการโจมตีในภายหลัง กิจกรรมที่เกี่ยวข้องกับการปฏิบัติการนี้ถูกตรวจพบในช่วงประมาณวันที่ 25 ธันวาคม 2025 ซึ่งเผยให้เห็นถึงความพยายามที่ประสานงานกันเพื่อใช้ประโยชน์จากบริการและช่องโหว่ที่เปิดเผยในระบบคลาวด์สมัยใหม่
สารบัญ
TeamPCP: กลุ่มภัยคุกคามที่เกิดขึ้นอย่างรวดเร็ว
แคมเปญดังกล่าวถูกระบุว่าเป็นฝีมือของกลุ่มภัยคุกคามที่ติดตามได้ในชื่อ TeamPCP ซึ่งรู้จักกันในชื่อแฝงต่างๆ เช่น DeadCatx3, PCPcat, PersyPCP และ ShellForce หลักฐานชี้ให้เห็นว่ากลุ่มนี้เริ่มปฏิบัติการมาอย่างน้อยตั้งแต่เดือนพฤศจิกายน 2025 โดยมีการเคลื่อนไหวใน Telegram ที่เกี่ยวข้องย้อนหลังไปถึงวันที่ 30 กรกฎาคม 2025 ช่อง Telegram ของ TeamPCP ซึ่งมีสมาชิกมากกว่า 700 คน ถูกใช้เพื่อเผยแพร่ข้อมูลที่ถูกขโมยซึ่งเชื่อมโยงกับเหยื่อในแคนาดา เซอร์เบีย เกาหลีใต้ สหรัฐอาหรับเอมิเรตส์ และสหรัฐอเมริกา
นักวิจัยได้บันทึกการปฏิบัติการของกลุ่มผู้ก่อการร้ายรายนี้เป็นครั้งแรกในเดือนธันวาคม 2025 ภายใต้ชื่อปฏิบัติการ PCPcat
การฉวยโอกาสจากจุดอ่อนของระบบคลาวด์เนทีฟ
TeamPCP ดำเนินงานในฐานะแพลตฟอร์มอาชญากรรมไซเบอร์บนระบบคลาวด์ โดยใช้ประโยชน์จากอินเทอร์เฟซการจัดการที่เปิดเผย การกำหนดค่าที่ไม่ถูกต้องทั่วไป และช่องโหว่ที่สำคัญ รวมถึงช่องโหว่ React2Shell ที่เพิ่งเปิดเผยเมื่อเร็ว ๆ นี้ (CVE-2025-55182, CVSS 10.0) เส้นทางการติดเชื้อหลักที่พบในแคมเปญนี้ ได้แก่:
API ของ Docker, API ของ Kubernetes, แดชบอร์ด Ray, เซิร์ฟเวอร์ Redis และแอปพลิเคชัน React/Next.js ที่มีช่องโหว่
จุดอ่อนเหล่านี้ไม่ได้ถูกนำไปใช้เพื่อโจมตีอุตสาหกรรมใดโดยเฉพาะ แต่เพื่อฉวยโอกาสเข้ายึดโครงสร้างพื้นฐาน ซึ่งส่วนใหญ่มักเกิดขึ้นในสภาพแวดล้อมของ Amazon Web Services และ Microsoft Azure ทำให้องค์กรที่ได้รับผลกระทบกลายเป็นเหยื่อโดยไม่ตั้งใจ
การแสวงหาประโยชน์ในระดับอุตสาหกรรมขนาดใหญ่
แทนที่จะพึ่งพาเทคนิคใหม่ๆ TeamPCP เน้นที่ขนาดและการทำงานอัตโนมัติ การปฏิบัติการนี้ผสมผสานเครื่องมือที่มีอยู่แล้ว ช่องโหว่ที่ทราบกันดี และการตั้งค่าที่ไม่ถูกต้องซึ่งมีการบันทึกไว้อย่างกว้างขวาง เพื่อสร้างระบบการโจมตีที่มีประสิทธิภาพ สภาพแวดล้อมที่ถูกบุกรุกจะถูกเปลี่ยนให้เป็นระบบนิเวศอาชญากรรมที่แพร่กระจายได้เอง ซึ่งสนับสนุนการสแกน การเคลื่อนที่ในแนวนอน การคงอยู่ และการสร้างรายได้
เป้าหมายหลักๆ ได้แก่ การสร้างโครงสร้างพื้นฐานพร็อกซีและการสแกนแบบกระจายศูนย์ การขโมยข้อมูล การแพร่กระจายมัลแวร์เรียกค่าไถ่ การดำเนินแคมเปญขู่กรรโชก และการขุดคริปโตเคอร์เรนซี นอกจากนี้ ทรัพย์สินที่ถูกบุกรุกยังถูกนำไปใช้ใหม่เพื่อการจัดเก็บข้อมูล บริการพร็อกซี และศูนย์ควบคุมสั่งการอีกด้วย
ระบบจ่ายพลังงานแบบโมดูลาร์และเครื่องมือที่รองรับระบบคลาวด์
การเข้าถึงครั้งแรกที่สำเร็จจะช่วยให้สามารถส่งเพย์โหลดรองจากเซิร์ฟเวอร์ภายนอกได้ โดยทั่วไปจะอยู่ในรูปแบบเชลล์หรือ Python ซึ่งออกแบบมาเพื่อขยายขอบเขตของแคมเปญ ส่วนประกอบหลักคือ proxy.sh จะติดตั้งยูทิลิตี้พร็อกซี เพียร์ทูเพียร์ และการสร้างอุโมงค์ พร้อมทั้งใช้งานสแกนเนอร์ที่ตรวจสอบอินเทอร์เน็ตอย่างต่อเนื่องเพื่อค้นหาเป้าหมายที่เปราะบางใหม่ๆ
ที่สำคัญคือ proxy.sh จะทำการตรวจสอบสภาพแวดล้อมการทำงานเพื่อพิจารณาว่ากำลังทำงานอยู่ภายในคลัสเตอร์ Kubernetes หรือไม่ เมื่อตรวจพบสภาพแวดล้อมดังกล่าว สคริปต์จะดำเนินการตามเส้นทางการทำงานที่แตกต่างออกไปและปรับใช้เพย์โหลดเฉพาะคลัสเตอร์ ซึ่งเน้นย้ำถึงแนวทางที่ปรับแต่งมาโดยเฉพาะสำหรับเป้าหมายคลาวด์เนทีฟของกลุ่มนี้
ส่วนหนึ่งของข้อมูลสนับสนุนประกอบด้วย:
- scanner.py จะดาวน์โหลดช่วง CIDR จากบัญชี GitHub ที่เชื่อมโยงกับ DeadCatx3 เพื่อค้นหา API ของ Docker และแดชบอร์ด Ray ที่ตั้งค่าไม่ถูกต้อง พร้อมตัวเลือกการขุดคริปโตเคอร์เรนซีผ่าน mine.sh
- kube.py มุ่งเน้นไปที่การรวบรวมข้อมูลประจำตัวของ Kubernetes การค้นหา Pod และ Namespace ผ่าน API การเผยแพร่ผ่าน Pod ที่เข้าถึงได้ และการคงอยู่ของข้อมูลผ่าน Pod ที่มีสิทธิ์พิเศษซึ่งติดตั้งอยู่บนแต่ละโหนด
- react.py ซึ่งใช้ประโยชน์จากช่องโหว่ของ React (CVE-2025-29927) เพื่อให้สามารถเรียกใช้คำสั่งจากระยะไกลได้ในวงกว้าง
- pcpcat.py เป็นโปรแกรมที่สแกนช่วง IP ขนาดใหญ่เพื่อค้นหา Docker API และ Ray dashboard ที่เปิดเผยสู่สาธารณะ และทำการติดตั้งคอนเทนเนอร์หรือโปรแกรมที่เป็นอันตรายซึ่งรันเพย์โหลดที่เข้ารหัสแบบ Base64
ความสามารถในการสั่งการและควบคุม และความสามารถในการโจมตีหลังการโจมตี
นักวิจัยได้เชื่อมโยงโหนดควบคุมและสั่งการที่ 67.217.57[.]240 เข้ากับการปฏิบัติการ โดยสังเกตเห็นความทับซ้อนกับการใช้ Sliver ซึ่งเป็นเฟรมเวิร์ก C2 แบบโอเพนซอร์สที่ถูกต้องตามกฎหมาย แต่กลับถูกผู้คุกคามนำไปใช้ในทางที่ผิดบ่อยครั้งในช่วงหลังการโจมตี
รูปแบบการสร้างรายได้แบบผสมผสานที่สร้างขึ้นเพื่อความยืดหยุ่น
แคมเปญ PCPcat แสดงให้เห็นถึงวงจรการโจมตีที่สมบูรณ์แบบ ตั้งแต่การสแกน การใช้ประโยชน์ การคงอยู่ การสร้างอุโมงค์ การขโมยข้อมูล และการสร้างรายได้ ซึ่งได้รับการออกแบบมาโดยเฉพาะสำหรับโครงสร้างพื้นฐานคลาวด์ อันตรายหลักที่เกิดจาก TeamPCP ไม่ได้อยู่ที่นวัตกรรมทางเทคนิค แต่เป็นการบูรณาการและการขยายขนาดในการปฏิบัติงาน การโจมตีและมัลแวร์ส่วนใหญ่ใช้ประโยชน์จากช่องโหว่ที่รู้จักกันดีและเครื่องมือโอเพนซอร์สที่ดัดแปลงเพียงเล็กน้อย
ในขณะเดียวกัน กลุ่มนี้ยังผสมผสานการใช้โครงสร้างพื้นฐานในทางที่ผิดเข้ากับการขโมยข้อมูลและการกรรโชกทรัพย์ ฐานข้อมูลประวัติส่วนตัว ข้อมูลบันทึกข้อมูลส่วนบุคคล และข้อมูลองค์กรที่รั่วไหลจะถูกเผยแพร่ผ่าน ShellForce เพื่อใช้เป็นเชื้อเพลิงในการโจมตีด้วยแรนซัมแวร์ การฉ้อโกง และการสร้างชื่อเสียงภายในระบบนิเวศอาชญากรรมไซเบอร์ กลยุทธ์การสร้างรายได้แบบสองทางนี้ ซึ่งได้กำไรทั้งจากทรัพยากรการประมวลผลและข้อมูลที่ถูกขโมย ช่วยสร้างรายได้หลายช่องทางและเพิ่มความยืดหยุ่นต่อการหยุดชะงักและการโจมตีจากกลุ่มอาชญากร
