Черв'як TeamPCP
Дослідники з кібербезпеки виявили масштабну кампанію, що базується на шкідливих програмах та систематично атакує хмарні середовища для створення шкідливої інфраструктури для подальшого використання. Активність, пов'язану з цією операцією, спостерігалася приблизно 25 грудня 2025 року, що свідчить про скоординовані зусилля щодо зловживання відкритими сервісами та вразливостями в сучасних хмарних стеках.
Зміст
TeamPCP: Швидкозростаючий кластер загроз
Кампанія пов'язана з кластером загроз, який відстежується як TeamPCP, також відомий під псевдонімами DeadCatx3, PCPcat, PersyPCP та ShellForce. Дані свідчать про те, що група діє щонайменше з листопада 2025 року, а пов'язана з цим активність у Telegram датується 30 липня 2025 року. Telegram-канал TeamPCP, який зріс до понад 700 учасників, використовується для публікації викрадених даних, пов'язаних з жертвами в Канаді, Сербії, Південній Кореї, Об'єднаних Арабських Еміратах та Сполучених Штатах.
Дослідники вперше задокументували дії актора у грудні 2025 року під назвою «Операція PCPcat».
Опортуністичне зловживання слабкими сторонами хмарних технологій
TeamPCP працює як хмарна платформа для боротьби з кіберзлочинністю, використовуючи відкриті інтерфейси управління, поширені неправильні конфігурації та критичні вразливості, включаючи нещодавно розкриту вразливість React2Shell (CVE-2025-55182, CVSS 10.0). Основні шляхи зараження, що спостерігалися в кампанії, включають:
Розкриті API Docker, API Kubernetes, панелі інструментів Ray, сервери Redis та вразливі застосунки React/Next.js
Ці слабкі місця використовуються не для атаки на конкретні галузі, а для опортуністичного захоплення інфраструктури, найчастіше в середовищах Amazon Web Services та Microsoft Azure, перетворюючи постраждалі організації на побічних жертв.
Індустріальна експлуатація у великих масштабах
Замість того, щоб покладатися на новітні методи, TeamPCP робить акцент на масштабі та автоматизації. Операція поєднує встановлені інструменти, відомі вразливості та широко задокументовані неправильні конфігурації для індустріалізації експлуатації. Скомпрометовані середовища перетворюються на саморозповсюджувану злочинну екосистему, яка підтримує сканування, горизонтальне переміщення, збереження та монетизацію.
Загальні цілі включають створення розподіленої інфраструктури проксі-серверів та сканування, вилучення даних, розгортання програм-вимагачів, проведення кампаній з вимагання та майнінг криптовалюти. Скомпрометовані активи також перепрофілюються для розміщення даних, проксі-сервісів та ретрансляцій командування та управління.
Модульні корисні навантаження та хмарно-орієнтовані інструменти
Успішний початковий доступ дозволяє доставляти вторинні корисні навантаження із зовнішніх серверів, зазвичай у формі оболонки або Python, призначені для розширення охоплення кампанії. Центральний компонент, proxy.sh, встановлює проксі-сервер, утиліти peer-to-peer та тунелювання, одночасно розгортаючи сканери, які постійно досліджують Інтернет на наявність нових вразливих цілей.
Примітно, що proxy.sh виконує відбитки пальців середовища виконання, щоб визначити, чи виконується воно всередині кластера Kubernetes. Коли таке середовище виявляється, скрипт слідує окремим шляхом виконання та розгортає корисні навантаження, специфічні для кластера, що підкреслює індивідуальний підхід групи до хмарних цілей.
Підмножина допоміжних корисних навантажень включає:
- scanner.py, який завантажує діапазони CIDR з облікового запису GitHub, пов'язаного з DeadCatx3, для пошуку неправильно налаштованих Docker API та панелей інструментів Ray, з опціональним майнінгом криптовалюти через mine.sh.
- kube.py, який зосереджений на зборі облікових даних Kubernetes, виявленні подів та просторів імен на основі API, поширенні через доступні поди та збереженні через привілейовані поди, встановлені на кожному вузлі.
- react.py, який використовує вразливість React (CVE-2025-29927) для забезпечення віддаленого виконання команд у великих масштабах
- pcpcat.py, який сканує великі діапазони IP-адрес на наявність відкритих API Docker та панелей інструментів Ray, а також розгортає шкідливі контейнери або завдання, що виконують корисні навантаження з кодуванням Base64.
Можливості командування та управління та пост-експлуатаційні можливості
Дослідники пов'язали вузол командування та управління за адресою 67.217.57[.]240 з цією операцією, відзначивши дублювання з використанням Sliver, легітимного фреймворку C2 з відкритим кодом, яким зловмисники часто зловживають на етапах після експлуатації.
Гібридна модель монетизації, створена для стійкості
Кампанія PCPcat демонструє повний життєвий цикл атаки, сканування, експлуатацію, збереження даних, тунелювання, крадіжку даних та монетизацію, спеціально розроблені для хмарної інфраструктури. Основна небезпека, яку становить TeamPCP, полягає не в технічних інноваціях, а в операційній інтеграції та масштабуванні. Більшість експлойтів та шкідливих програм використовують добре відомі вразливості та злегка модифіковані інструменти з відкритим кодом.
Водночас група поєднує зловживання інфраструктурою з крадіжкою даних та вимаганням. Витік баз даних резюме, ідентифікаційних записів та корпоративних даних публікується через ShellForce для підтримки операцій з вимаганням програм-вимагачів, шахрайства та зміцнення репутації в екосистемі кіберзлочинності. Ця стратегія подвійної монетизації, що передбачає отримання прибутку як від обчислювальних ресурсів, так і від викраденої інформації, забезпечує кілька потоків доходу та підвищує стійкість до збоїв та блокувань.
