TeamPCP Solucanı

Siber güvenlik araştırmacıları, bulut tabanlı ortamları sistematik olarak hedef alan ve daha sonra istismar için kötü amaçlı altyapı oluşturan, solucan virüsü kaynaklı kapsamlı bir saldırı kampanyasını ortaya çıkardı. Bu operasyonla bağlantılı faaliyetler 25 Aralık 2025 civarında gözlemlendi ve modern bulut yığınlarındaki açıkta kalan hizmetleri ve güvenlik açıklarını kötüye kullanmaya yönelik koordineli bir çabayı ortaya koydu.

TeamPCP: Hızla Yükselen Bir Tehdit Kümesi

Kampanya, TeamPCP olarak izlenen ve DeadCatx3, PCPcat, PersyPCP ve ShellForce gibi takma adlarla da bilinen bir tehdit kümesine atfediliyor. Kanıtlar, grubun en az Kasım 2025'ten beri faaliyette olduğunu ve ilgili Telegram etkinliğinin 30 Temmuz 2025'e kadar uzandığını gösteriyor. 700'den fazla üyeye ulaşan TeamPCP Telegram kanalı, Kanada, Sırbistan, Güney Kore, Birleşik Arap Emirlikleri ve Amerika Birleşik Devletleri'ndeki mağdurlarla bağlantılı çalınmış verileri yayınlamak için kullanılıyor.

Araştırmacılar, aktörün faaliyetlerini ilk olarak Aralık 2025'te "Operasyon PCPcat" adı altında belgelediler.

Bulut Tabanlı Zayıflıkların Fırsatçı Kötüye Kullanımı

TeamPCP, bulut tabanlı bir siber suç platformu olarak faaliyet gösteriyor ve yakın zamanda açıklanan React2Shell açığı (CVE-2025-55182, CVSS 10.0) dahil olmak üzere, açıkta kalan yönetim arayüzlerinden, yaygın yanlış yapılandırmalardan ve kritik güvenlik açıklarından yararlanıyor. Kampanyada gözlemlenen başlıca bulaşma yolları şunlardır:

Açığa çıkarılan Docker API'leri, Kubernetes API'leri, Ray kontrol panelleri, Redis sunucuları ve güvenlik açığı bulunan React/Next.js uygulamaları.

Bu zafiyetler, belirli sektörleri hedef almak için değil, çoğunlukla Amazon Web Services ve Microsoft Azure ortamlarında altyapıyı fırsatçı bir şekilde ele geçirmek için kullanılıyor ve etkilenen kuruluşları dolaylı mağdur haline getiriyor.

Büyük Ölçekli Sanayileşmiş Sömürü

TeamPCP, yeni tekniklere güvenmek yerine ölçeklenebilirliğe ve otomasyona odaklanmaktadır. Operasyon, yerleşik araçları, bilinen güvenlik açıklarını ve yaygın olarak belgelenmiş yanlış yapılandırmaları birleştirerek istismarı endüstrileştirir. Ele geçirilen ortamlar, tarama, yatay hareket, kalıcılık ve para kazanmayı destekleyen, kendi kendini çoğaltan bir suç ekosistemine dönüştürülür.

Genel hedefler arasında dağıtık proxy ve tarama altyapısı oluşturmak, veri sızdırmak, fidye yazılımı yaymak, gasp kampanyaları yürütmek ve kripto para madenciliği yapmak yer almaktadır. Ele geçirilen varlıklar ayrıca veri barındırma, proxy hizmetleri ve komuta-kontrol röleleri için de yeniden kullanılmaktadır.

Modüler Yükler ve Bulut Tabanlı Araçlar

Başarılı ilk erişim, kampanyanın erişimini genişletmek için tasarlanmış, genellikle shell veya Python biçiminde olan harici sunuculardan ikincil zararlı yazılımların iletilmesini sağlar. Merkezi bir bileşen olan proxy.sh, proxy, eşler arası ve tünelleme yardımcı programlarını kurarken, interneti sürekli olarak yeni savunmasız hedefler için tarayan tarayıcıları da devreye alır.

Özellikle, proxy.sh betiği, bir Kubernetes kümesi içinde çalışıp çalışmadığını belirlemek için çalışma ortamı parmak izi alma işlemi gerçekleştirir. Böyle bir ortam tespit edildiğinde, betik ayrı bir yürütme yolunu izler ve kümeye özgü yükleri dağıtır; bu da grubun bulut tabanlı hedeflere yönelik özel yaklaşımının altını çizer.

Destekleyici yüklerin bir alt kümesi şunları içerir:

• Scanner.py, yanlış yapılandırılmış Docker API'lerini ve Ray kontrol panellerini bulmak için DeadCatx3 ile ilişkili bir GitHub hesabından CIDR aralıklarını indirir ve mine.sh aracılığıyla isteğe bağlı kripto para madenciliği yapabilir.
• kube.py, Kubernetes kimlik bilgilerinin toplanmasına, API tabanlı pod ve ad alanı keşfine, erişilebilir podlar aracılığıyla yayılmaya ve her düğüme monte edilmiş ayrıcalıklı podlar aracılığıyla kalıcılığa odaklanmaktadır.
• React.py, React'teki bir güvenlik açığını (CVE-2025-29927) kullanarak uzaktan komut yürütmeyi büyük ölçekte gerçekleştirmeyi sağlayan bir yazılımdır.
• pcpcat.py, açıkta bulunan Docker API'leri ve Ray kontrol panelleri için geniş IP aralıklarını tarar ve Base64 kodlu zararlı yazılımlar çalıştıran kötü amaçlı konteynerler veya işler devreye sokar.

Komuta ve Kontrol ve Operasyon Sonrası Yetenekleri

Araştırmacılar, 67.217.57[.]240 adresindeki bir komuta ve kontrol düğümünü operasyonla ilişkilendirmiş ve tehdit aktörleri tarafından sömürü sonrası aşamalarda sıklıkla kötüye kullanılan meşru bir açık kaynaklı C2 çerçevesi olan Sliver'ın kullanımıyla örtüşmeler olduğunu belirtmişlerdir.

Dayanıklılık İçin Tasarlanmış Hibrit Gelir Elde Etme Modeli

PCPcat kampanyası, bulut altyapısı için özel olarak tasarlanmış, tarama, istismar, kalıcılık, tünelleme, veri hırsızlığı ve para kazanma gibi eksiksiz bir saldırı yaşam döngüsünü göstermektedir. TeamPCP'nin oluşturduğu asıl tehlike, teknik yenilikte değil, operasyonel entegrasyon ve ölçekte yatmaktadır. Çoğu istismar ve kötü amaçlı yazılım, iyi bilinen güvenlik açıklarından ve hafifçe değiştirilmiş açık kaynaklı araçlardan yararlanmaktadır.

Aynı zamanda, grup altyapı suistimalini veri hırsızlığı ve gasp ile birleştiriyor. Sızdırılan özgeçmiş veritabanları, kimlik kayıtları ve kurumsal veriler, siber suç ekosisteminde fidye yazılımı operasyonlarını, dolandırıcılığı ve itibar oluşturmayı beslemek için ShellForce aracılığıyla yayınlanıyor. Hem bilgi işlem kaynaklarından hem de çalınan bilgilerden kar elde eden bu ikili gelir stratejisi, birden fazla gelir akışı sağlıyor ve kesintilere ve operasyonlara karşı direnci artırıyor.