TeamPCP Worm
Natuklasan ng mga mananaliksik sa cybersecurity ang isang malawakan at worm-driven na kampanya na sistematikong tinatarget ang mga cloud-native na kapaligiran upang bumuo ng malisyosong imprastraktura para sa kasunod na pagsasamantala. Ang aktibidad na nauugnay sa operasyong ito ay naobserbahan noong Disyembre 25, 2025, na nagpapakita ng isang koordinadong pagsisikap na abusuhin ang mga nakalantad na serbisyo at kahinaan sa mga modernong cloud stack.
Talaan ng mga Nilalaman
TeamPCP: Isang Mabilis na Umuusbong na Kumpol ng Banta
Ang kampanya ay iniuugnay sa isang kumpol ng banta na sinusubaybayan bilang TeamPCP, na kilala rin sa mga alyas tulad ng DeadCatx3, PCPcat, PersyPCP, at ShellForce. Ipinahihiwatig ng ebidensya na ang grupo ay nagpapatakbo na simula pa noong Nobyembre 2025, na may kaugnay na aktibidad sa Telegram na nagsimula noong Hulyo 30, 2025. Ang TeamPCP Telegram channel, na lumaki na sa mahigit 700 miyembro, ay ginagamit upang maglathala ng mga ninakaw na data na naka-link sa mga biktima sa Canada, Serbia, South Korea, United Arab Emirates, at Estados Unidos.
Unang idinokumento ng mga mananaliksik ang mga operasyon ng aktor noong Disyembre 2025 sa ilalim ng titulong Operation PCPcat.
Oportunistikong Pag-abuso sa mga Kahinaan ng Cloud-Native
Ang TeamPCP ay nagpapatakbo bilang isang cloud-native cybercrime platform, na sinasamantala ang mga nakalantad na management interface, mga karaniwang maling pag-configure, at mga kritikal na kahinaan, kabilang ang kamakailang isiniwalat na React2Shell flaw (CVE-2025-55182, CVSS 10.0). Ang mga pangunahing pathway ng impeksyon na naobserbahan sa kampanya ay kinabibilangan ng:
Mga nakalantad na Docker API, Kubernetes API, Ray dashboard, Redis server, at mga mahinang React/Next.js application
Ang mga kahinaang ito ay sinasamantala hindi upang i-target ang mga partikular na industriya, kundi upang oportunistang sakupin ang imprastraktura, kadalasan sa loob ng mga kapaligiran ng Amazon Web Services at Microsoft Azure, na ginagawang mga biktima ang mga apektadong organisasyon.
Industriyalisadong Pagsasamantala sa Malawakang Lugar
Sa halip na umasa sa mga nobelang pamamaraan, binibigyang-diin ng TeamPCP ang scale at automation. Pinagsasama ng operasyon ang mga establisadong tool, mga kilalang kahinaan, at malawakang naitalang maling pag-configure upang gawing industriyalisado ang pagsasamantala. Ang mga nakompromisong kapaligiran ay binabago tungo sa isang self-propagating criminal ecosystem na sumusuporta sa scanning, lateral movement, persistence, at monetization.
Kabilang sa mga pangkalahatang layunin ang pagbuo ng distributed proxy at scanning infrastructure, pag-exfiltrate ng data, pag-deploy ng ransomware, pagsasagawa ng mga extortion campaign, at pagmimina ng cryptocurrency. Ang mga nakompromisong asset ay ginagamit din para sa data hosting, mga proxy service, at command-and-control relay.
Mga Modular na Payload at Cloud-Aware Tooling
Ang matagumpay na paunang pag-access ay nagbibigay-daan sa paghahatid ng mga pangalawang payload mula sa mga panlabas na server, karaniwang nasa anyong shell o Python, na idinisenyo upang palawakin ang abot ng kampanya. Ang isang sentral na bahagi, ang proxy.sh, ay nag-i-install ng mga proxy, peer-to-peer, at mga tunneling utility habang nagde-deploy ng mga scanner na patuloy na sumusuri sa internet para sa mga bagong mahinang target.
Kapansin-pansin, ang proxy.sh ay nagsasagawa ng runtime environment fingerprinting upang matukoy kung ito ay isinasagawa sa loob ng isang Kubernetes cluster. Kapag natukoy ang ganitong kapaligiran, ang script ay sumusunod sa isang hiwalay na landas ng pagpapatupad at nagde-deploy ng mga payload na partikular sa cluster, na nagbibigay-diin sa pinasadyang diskarte ng grupo sa mga target na cloud-native.
Ang isang subset ng mga sumusuportang payload ay kinabibilangan ng:
- scanner.py, na nagda-download ng mga CIDR ranges mula sa isang GitHub account na nauugnay sa DeadCatx3 upang mahanap ang mga maling na-configure na Docker API at Ray dashboard, na may opsyonal na cryptocurrency mining sa pamamagitan ng mine.sh
- kube.py, na nakatuon sa pagkuha ng kredensyal ng Kubernetes, pagtuklas ng mga pod at namespace batay sa API, pagpapalaganap sa pamamagitan ng mga accessible pod, at persistence sa pamamagitan ng mga privileged pod na naka-mount sa bawat node.
- react.py, na gumagamit ng kahinaan ng React (CVE-2025-29927) upang maisakatuparan ang remote command execution sa malawakang saklaw
- Ang pcpcat.py, na nag-i-scan ng malalaking hanay ng IP para sa mga nakalantad na Docker API at Ray dashboard at nagde-deploy ng mga malisyosong container o trabahong nagpapatakbo ng mga Base64-encoded payload
Mga Kakayahan sa Pag-uutos at Pagkontrol at Pagkatapos ng Pagsasamantala
Iniugnay ng mga mananaliksik ang isang command-and-control node sa 67.217.57[.]240 sa operasyon, at binanggit ang mga pagsasanib sa paggamit ng Sliver, isang lehitimong open-source C2 framework na kadalasang inaabuso ng mga threat actor sa mga post-exploitation phase.
Isang Hybrid Monetization Model na Ginawa para sa Katatagan
Ang kampanyang PCPcat ay nagpapakita ng kumpletong siklo ng buhay ng pag-atake, pag-scan, pagsasamantala, pagtitiyaga, pag-tunnel, pagnanakaw ng data, at monetization, na partikular na ginawa para sa imprastraktura ng cloud. Ang pangunahing panganib na dulot ng TeamPCP ay wala sa teknikal na inobasyon, kundi sa integrasyon at saklaw ng operasyon. Karamihan sa mga exploit at malware ay gumagamit ng mga kilalang kahinaan at bahagyang binagong open-source tooling.
Kasabay nito, pinaghalo ng grupo ang pang-aabuso sa imprastraktura at pagnanakaw ng datos at pangingikil. Ang mga leaked CV database, mga rekord ng pagkakakilanlan, at datos ng korporasyon ay inilalathala sa pamamagitan ng ShellForce upang pasiglahin ang mga operasyon ng ransomware, pandaraya, at pagbuo ng reputasyon sa loob ng ecosystem ng cybercrime. Ang dual monetization strategy na ito, na kumikita mula sa parehong mga mapagkukunan ng compute at ninakaw na impormasyon, ay nagbibigay ng maraming daloy ng kita at nagpapataas ng katatagan laban sa pagkagambala at mga takedown.
